Imágenes falsas | Colección Smith/Gado
Comcast esperó 13 días para parchear su red contra una vulnerabilidad de alta gravedad, un lapso que permitió a los piratas informáticos hacerse con datos de contraseñas y otra información confidencial perteneciente a 36 millones de clientes de Xfinity.
La violación, que se llevó a cabo aprovechando una vulnerabilidad en el hardware de red vendido por Citrix, dio a los piratas informáticos acceso a nombres de usuario y contraseñas cifradas criptográficamente para 35,9 millones de clientes de Xfinity, dijo el proveedor de televisión por cable e Internet en un notificación
“Sin embargo, posteriormente descubrimos que antes de la mitigación, entre el 16 y el 19 de octubre de 2023, hubo acceso no autorizado a algunos de nuestros sistemas internos que concluimos que era el resultado de esta vulnerabilidad”, dijo un aviso adjunto fijado. “Notificamos a las autoridades federales y llevamos a cabo una investigación sobre la naturaleza y el alcance del incidente. El 16 de noviembre de 2023 se determinó que probablemente se adquirió información”.
Comcast todavía está investigando con precisión qué datos obtuvieron los atacantes. Hasta ahora, según la divulgación del lunes, la información que se sabe que ha sido tomada incluye nombres de usuario y contraseñas hash, nombres, información de contacto, los últimos cuatro dígitos de números de seguro social, fechas de nacimiento y/o preguntas y respuestas secretas. Xfinity es la división de Internet y televisión por cable de Comcast.
Citrix Bleed se ha convertido en una de las vulnerabilidades más graves y ampliamente explotadas del año, con una clasificación de gravedad de 9,4 sobre 10. La vulnerabilidad, que reside en NetScaler Application Delivery Controller y NetScaler Gateway de Citrix, puede explotarse sin autenticación ni privilegios en los afectados. redes. Los exploits revelan tokens de sesión, que el hardware asigna a dispositivos que ya han proporcionado correctamente las credenciales de inicio de sesión. La posesión de los tokens permite a los piratas informáticos anular cualquier autenticación multifactor en uso e iniciar sesión en el dispositivo.
Otras empresas que han sido pirateadas a través de Citrix Bleed incluyen a Boeing; Toyota; DP World Australia, una sucursal de la empresa de logística DP World con sede en Dubai; Banco Industrial y Comercial de China; y el bufete de abogados Allen & Overy.
El nombre Citrix Bleed es una alusión a Heartbleed, un día cero diferente de divulgación de información crítica que puso patas arriba a Internet en 2014. Esa vulnerabilidad, que residía en la biblioteca de códigos OpenSSL, fue objeto de explotación masiva y permitió el robo de contraseñas. claves de cifrado, credenciales bancarias y todo tipo de información confidencial. Citrix Bleed no ha sido tan grave porque se utilizan menos dispositivos vulnerables.
Un barrido de los sitios de ransomware más activos no reveló ninguna reivindicación de responsabilidad por el hackeo de la red Comcast. Un representante de Xfinity dijo en un correo electrónico que la compañía aún no ha recibido ninguna demanda de rescate y que los investigadores no tienen conocimiento de que se haya filtrado ningún dato de los clientes ni de ningún ataque a los clientes afectados.
Comcast exige a los clientes de Xfinity que restablezcan sus contraseñas para protegerse contra la posibilidad de que los atacantes puedan descifrar los hashes robados. La empresa también anima a los clientes a habilitar la autenticación de dos factores. El representante se negó a decir por qué los administradores de la empresa no aplicaron el parche antes.