Xfinity olarak faaliyet gösteren Comcast Cable Communications, Pazartesi günü yaptığı açıklamada, Ekim ayında Citrix sunucularından birine saldıran saldırganların aynı zamanda sistemlerinden müşteriye özel bilgileri de çaldığını açıkladı.
25 Ekim’de, yani Citrix’in artık Citrix Bleed olarak bilinen ve CVE-2023-4966 olarak takip edilen kritik bir güvenlik açığını gidermek için güvenlik güncellemelerini yayınlamasından yaklaşık iki hafta sonra, telekomünikasyon şirketi 16 Ekim ile 19 Ekim arasında ağında kötü amaçlı faaliyetlere ilişkin kanıtlar buldu.
Siber güvenlik şirketi Mandiant, Citrix kusurunun en azından Ağustos 2023’ün sonlarından bu yana aktif olarak sıfır gün olarak kullanıldığını söylüyor.
Güvenlik ihlalinin etkisine ilişkin bir soruşturmanın ardından Xfinity, 16 Kasım’da saldırganların aynı zamanda açıklanmayan sayıda müşteriye ait verileri sistemlerinden sızdırdığını keşfetti.
“Etkilenen sistemler ve veriler üzerinde yapılan ek incelemenin ardından Xfinity, 6 Aralık 2023’te kapsam dahilindeki müşteri bilgilerinin kullanıcı adlarını ve karma şifreleri içerdiği sonucuna varmıştır; bazı müşteriler için adlar, iletişim bilgileri gibi diğer bilgilerin de dahil edilebileceği sonucuna varılmıştır. Şirket, sosyal güvenlik numaralarının son dört hanesi, doğum tarihleri ve/veya gizli soru ve cevapların bulunduğunu ancak veri analizinin devam ettiğini belirtti.
Kullanıcıların şifreleri hiçbir bilgi olmadan sıfırlanıyor
Xfinity, etkilenen hesapları korumak için kullanıcılardan şifrelerini sıfırlamalarını istediğini söylese de müşteriler rapor geçen hafta bunun neden olduğuna dair hiçbir belirti olmadan şifre sıfırlama talepleri aldıklarını söyledi.
Şirket, “Hesabınızı korumak için proaktif olarak şifrenizi sıfırlamanızı istedik. Xfinity hesabınıza bir sonraki girişinizde, eğer daha önce istenmediyse şifrenizi değiştirmeniz istenecektir” dedi. web sitesinde yayınlanan bir veri ihlali bildiriminde diyor.
Bir yıl önce, Xfinity müşterilerinin hesapları da iki faktörlü kimlik doğrulamayı atlayarak yaygın kimlik bilgisi doldurma saldırılarıyla saldırıya uğradı.
Ele geçirilen hesaplar daha sonra Coinbase ve Gemini kripto borsaları da dahil olmak üzere diğer hizmetlerin hesap şifrelerini sıfırlamak için kullanıldı.
Bugün erken saatlerde BleepingComputer ile iletişime geçildiğinde bir Xfinity sözcüsü yorum yapmak için hemen müsait değildi.