Comcast Cable Communications, faisant affaire sous le nom de Xfinity, a révélé lundi que les attaquants qui avaient violé l’un de ses serveurs Citrix en octobre avaient également volé des informations sensibles aux clients de ses systèmes.
Le 25 octobre, environ deux semaines après que Citrix a publié des mises à jour de sécurité pour corriger une vulnérabilité critique désormais connue sous le nom de Citrix Bleed et suivie sous le numéro CVE-2023-4966, la société de télécommunications a trouvé des preuves d’activités malveillantes sur son réseau entre le 16 et le 19 octobre.
La société de cybersécurité Mandiant affirme que la faille Citrix avait été activement exploitée comme un jour zéro depuis au moins la fin août 2023.
À la suite d’une enquête sur l’impact de la faille de sécurité, Xfinity a découvert le 16 novembre que les attaquants avaient également exfiltré de ses systèmes des données appartenant à un nombre non divulgué de clients.
« Après un examen supplémentaire des systèmes et des données affectés, Xfinity a conclu le 6 décembre 2023 que les informations client incluses dans la portée comprenaient des noms d’utilisateur et des mots de passe hachés », a déclaré la société.
« [Pour] certains clients, d’autres informations peuvent également avoir été incluses, telles que les noms, les coordonnées, les quatre derniers chiffres des numéros de sécurité sociale, les dates de naissance et/ou des questions et réponses secrètes. Cependant, l’analyse des données se poursuit. »
Réinitialisation des mots de passe des utilisateurs sans aucune information
Alors que Xfinity dit avoir demandé aux utilisateurs de réinitialiser leurs mots de passe pour protéger les comptes concernés, les clients rapportent qu’ils avaient reçu des demandes de réinitialisation de mot de passe la semaine dernière sans aucune indication quant à la raison pour laquelle cela se produisait.
« Pour protéger votre compte, nous vous avons demandé de manière proactive de réinitialiser votre mot de passe. La prochaine fois que vous vous connecterez à votre compte Xfinity, vous serez invité à changer votre mot de passe, si cela ne vous a pas déjà été demandé », indique la société dans un avis de violation de données publié sur son site Web.
Il y a un an, les clients Xfinity ont également vu leurs comptes piratés lors d’attaques généralisées de bourrage d’informations d’identification contournant l’authentification à deux facteurs.
Les comptes compromis ont ensuite été utilisés pour réinitialiser les mots de passe des comptes pour d’autres services, y compris les échanges cryptographiques Coinbase et Gemini.
Mise à jour du 18 décembre à 19h08 EST: Un porte-parole de Comcast a partagé la déclaration suivante avec Breachtrace après la publication de l’article, mais n’a pas partagé plus de détails sur le nombre de personnes touchées par la violation de données. La société a ajouté que ses opérations n’avaient pas été affectées et qu’elle n’avait reçu aucune demande de rançon après l’incident.
Nous informons les clients d’un incident de sécurité des données qui a exploité une vulnérabilité précédemment annoncée par Citrix, un fournisseur de logiciels utilisé par Xfinity et des milliers d’autres sociétés dans le monde entier. Nous avons rapidement corrigé et atténué la vulnérabilité. Nous ne sommes au courant d’aucune fuite de données client, ni d’aucune attaque contre nos clients.
De plus, nous avons demandé à nos clients de réinitialiser leurs mots de passe et nous leur recommandons fortement d’activer l’authentification à deux facteurs ou à plusieurs facteurs, comme le font déjà de nombreux clients Xfinity. Nous prenons la responsabilité de protéger nos clients très au sérieux et notre équipe de cybersécurité surveille 24h / 24 et 7j / 7.