Xfinity discloses data breach affecting over 35 million people
2023/12/18 BleepingComputer — 12月18日に Comcast Cable Communications が明らかにしたのは、Xfinity 事業のシステムから、顧客の機密情報が窃取されたことである。その原因は、10月の時点で、同社の Citrix Server で発生した不正侵入にあるという。同社が 10月25日に発見したのは、10月16日〜10月19日において、同社のネットワーク上で悪意の活動が行われていた証拠である。Citrix Bleed と呼ばれる深刻な脆弱性 CVE-2023-4966 に対処したセキュリティ・アップデートが、Ctrix からリリースされてから、およそ2週間後の出来事だった。
サイバーセキュリティ会社 Mandiant によると、この Citrix の脆弱性は、遅くとも 2023年8月下旬から、ゼロデイとして活発に悪用されていたという。Xfinity は 11月16日に、セキュリティ侵害の影響について調査した結果を公表したが、その内容は、同社のシステムから 35,879,455 人分もの顧客データが流出していたというものである。
Comcast 傘下の Xfinity は、「影響を受けたシステムとデータを更に調査した結果として、2023年12月6日の時点で判明したのは、窃取された顧客情報にはユーザー名とハッシュ化されたパスワードが含まれていたことだ。一部の顧客については、氏名/連絡先/社会保障番号の下4桁/生年月日/秘密の質問と回答などのデータが含まれていた可能性もある。現状においても、データ分析は継続中である」と述べている。
説明なしにパスワードのリセットを求められるユーザー
Xfinity は、影響を受けたアカウントを保護するために、パスワードをリセットするようユーザーに求めた。しかし、ある顧客からの報告によると、先週からパスワードリセットの要求があったが、その理由については何の説明もなかったという。
Xfinity は、Web サイトで公表しているデータ漏洩の通知において、「顧客のアカウントを保護するため、パスワードのリセットを呼びかけている。Xfinity アカウントにログインする際に、パスワードが変更されていなければ、変更するように促される」と述べている。
2022年にも Xfinity の顧客たちは、2要素認証をバイパスするクレデンシャル・スタッフィング攻撃が発生し、アカウントをハッキングされている。侵害されたアカウントは、Coinbase や Gemini 暗号取引所などのサービスの、アカウント・パスワードのリセットに使用された。
Update:12月18日 19:08 EST:この記事の掲載後に、Comcast の広報担当者から、以下のような声明が届いたが、データ漏洩の影響を受けたアカウント数の詳細については明かされていない。同社は、業務には影響はなく、事件後に身代金の要求は受けていないとしている。
Comcast — Xfinity を含む、世界中の何千もの企業がユーザーである、Citrix が発表した脆弱性の悪用とインシデントについて通知する。この脆弱性に対して、Xfinity は速やかにパッチを適用し、問題を緩和した。顧客データの外部への流出や顧客に対する攻撃などは、確認されていない。
それに加えて、顧客に対してパスワードのリセットを要求している。Xfinity の顧客の多くが既に行っているように、2要素認証や多要素認証の有効化を強く推奨する。当社は、顧客保護の責任を非常に重く受け止めており、サイバーセキュリティ・チームが 24時間 365日体制で監視している — Comcast
Citrix Bleed が止まりませんね。これで何件目の被害なのかも、もう、わからなくなっています。第一報は、2023/10/10 の「Citrix NetScaler の脆弱性 CVE-2023-4966 が FIX:機密情報の漏洩」であり、その後に Citrix Bleed と言う名前がつけられ、被害が続出しているという状況です。ステルス性の高い LOLBin 攻撃の対象になってしまったことが、問題の検出を困難にしているのでしょう。よろしければ、脆弱性 CVE-2023-4966 で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.