Американската хотелска и курортна компания Wynn Resorts официално потвърди, че неоторизирана трета страна е получила достъп до служебни данни, след като компанията беше посочена като жертва в сайта за изтичане на данни на групата за изнудване ShinyHunters.
В изявление Wynn Resorts съобщава, че незабавно е активирала процедурите си за реакция при инциденти и е стартирала вътрешно разследване с помощта на външни експерти по киберсигурност.
Какво признава компанията
По данни на Wynn Resorts, атакуващите са се сдобили с определен обем служебна информация, но към момента няма доказателства данните да са публикувани или злоупотребени. Компанията допълва, че нападателите са заявили, че откраднатите данни са изтрити.
Важно уточнение е, че Wynn Resorts не коментира дали е платен откуп. В практиката на киберизнудването подобни твърдения за „изтрити данни“ обикновено се появяват след постигнато споразумение, но това не е потвърдено в конкретния случай.
Компанията подчертава още, че инцидентът не е засегнал гостите или физическите обекти, които продължават да функционират нормално. На служителите е предложено безплатно кредитно наблюдение и защита срещу кражба на самоличност.
Твърденията на ShinyHunters
Дни по-рано Wynn Resorts се появи в сайта за течове на ShinyHunters, където групата заяви, че е откраднала над 800 000 записа, съдържащи лични идентификационни данни (включително социалноосигурителни номера) и служебна информация.
В публикацията беше отправен ултиматум за контакт до 23 февруари 2026 г., с предупреждение, че при липса на реакция данните ще бъдат публикувани. Малко по-късно обявата беше премахната от сайта, което често се случва при текущи преговори или оспорване на твърденията.
Потенциален източник на пробива
ShinyHunters по-рано твърдяха, че данните са извлечени от Oracle PeopleSoft среда, използвана за управление на човешки ресурси. Wynn Resorts не е потвърдила техническите детайли около първоначалния достъп.
Aктивна кампания на ShinyHunters
ShinyHunters е добре позната група за изнудване чрез кражба на данни, с дълга история на атаки срещу големи организации. През последните месеци групата пое отговорност за пробиви, засягащи компании като Panera Bread, SoundCloud, Canada Goose, PornHub и Match Group.
В редица случаи компрометирането е постигнато чрез гласов фишинг (vishing) срещу служители, при което атакуващите се представят за IT поддръжка и подлъгват жертвите да въведат идентификационни данни и MFA кодове. След това се завземат SSO акаунти, които осигуряват достъп до свързани SaaS платформи като Salesforce, Microsoft 365, Google Workspace, SAP, Slack и други.
По-нов подход на групата включва device code vishing, чрез който се получават валидни удостоверителни токени и се заобикалят стандартни защитни механизми.
Случаят с Wynn Resorts показва нарастващия риск за HR и SaaS екосистемите, които често съдържат най-чувствителните лични данни. Дори при липса на публично изтичане, самото потвърждение за кражба на данни налага сериозни последващи мерки – от техническо укрепване до дългосрочна защита на засегнатите служители.
