Comcast Cable Communications, que opera bajo el nombre de Xfinity, reveló el lunes que los atacantes que violaron uno de sus servidores Citrix en octubre también robaron información sensible de los clientes de sus sistemas.

El 25 de octubre, aproximadamente dos semanas después de que Citrix lanzara actualizaciones de seguridad para abordar una vulnerabilidad crítica ahora conocida como Citrix Bleed y rastreada como CVE-2023-4966, la compañía de telecomunicaciones encontró evidencia de actividad maliciosa en su red entre el 16 y el 19 de octubre.

La empresa de ciberseguridad Mandiant dice que la falla de Citrix había sido explotada activamente como un día cero desde al menos finales de agosto de 2023.

Después de una investigación sobre el impacto del incidente, Xfinity descubrió el 16 de noviembre que los atacantes también exfiltraron datos de sus sistemas, y la violación de datos afectó a 35,879,455 personas.

“Después de una revisión adicional de los sistemas y datos afectados, Xfinity concluyó el 6 de diciembre de 2023 que la información del cliente incluía nombres de usuario y contraseñas encriptadas”, dijo la empresa.

“Para algunos clientes, también se podría haber incluido otra información, como nombres, información de contacto, últimos cuatro dígitos de los números de seguro social, fechas de nacimiento y/o preguntas y respuestas secretas. Sin embargo, el análisis de datos continúa”.

Restablecimiento de contraseñas de usuarios sin información

Aunque Xfinity dice que ha pedido a los usuarios que restablezcan sus contraseñas para proteger las cuentas afectadas, los clientes informan que la semana pasada recibieron solicitudes de restablecimiento de contraseña sin indicación alguna sobre por qué estaba sucediendo eso.

“Para proteger su cuenta, le hemos pedido de manera proactiva que restablezca su contraseña. La próxima vez que inicie sesión en su cuenta de Xfinity, se le pedirá que cambie su contraseña, si aún no se le ha pedido que lo haga”, dice la empresa en un aviso de violación de datos publicado en su sitio web.

Hace un año, los clientes de Xfinity también tuvieron sus cuentas pirateadas en ataques generalizados de relleno de credenciales que evadían la autenticación de dos factores.

Las cuentas comprometidas se usaron luego para restablecer las contraseñas de la cuenta para otros servicios, incluidos los intercambios de criptomonedas Coinbase y Gemini.

Actualización 18 de diciembre, 19:08 EST: Un portavoz de Comcast compartió la siguiente declaración con BleepingComputer después de la publicación del artículo, pero no compartió más detalles sobre el número de personas afectadas por la violación de datos. La empresa añadió que sus operaciones no se vieron afectadas y que no recibió ninguna demanda de rescate después del incidente.

Estamos notificando a los clientes sobre un incidente de seguridad de datos que explotó una vulnerabilidad previamente anunciada por Citrix, un proveedor de software utilizado por Xfinity y miles de otras empresas en todo el mundo. Parchamos y mitigamos rápidamente la vulnerabilidad. No tenemos conocimiento de que se haya filtrado ningún dato del cliente en ningún lugar, ni de ataques a nuestros clientes.

Además, exigimos a nuestros clientes que restablecieran sus contraseñas y les recomendamos encarecidamente que habiliten la autenticación de dos factores o múltiples factores, como ya hacen muchos clientes de Xfinity. Nos tomamos muy en serio la responsabilidad de proteger a nuestros clientes y nuestro equipo de ciberseguridad monitorea las 24 horas del día, los 7 días de la semana.

Actualización 19 de diciembre, 05:40 EST: Se agregó información sobre el número de personas afectadas por la violación de datos.