12月18日,美国第二大互联网服务供应商Xfinity 透露,10月份发生的一起网络攻击泄露了多达近3600万用户的敏感数据。

Xfinity由康卡斯特公司所属,为美国用户提供宽带互联网和有线电视等服务。

该公司表示,攻击是受Citrix Bleed的 CVE-2023-4966 漏洞影响,攻击者可能在 10 月 16 日至 19 日期间利用该漏洞获得了数据。经过调查,数据泄露具体影响了 35879455 人。

在对受影响的系统和数据进行额外审查后,Xfinity 于 2023 年 12 月 6 日得出结论,受影响范围内的用户信息包括用户名和哈希密码,甚至还包括部分用户的姓名、联系信息、社会安全号码后4位数、出生日期和以及密保问题答案。

目前Xfinity已要求用户重置密码以保护受影响的帐户,但有部分用户反馈已在上周收到了密码重置确认通知,不排除攻击者已经开始对用户账户权限下手。

就在1年前,Xfinity 用户也在绕过双因素身份验证的大范围凭据填充攻击中遭到黑客攻击,被入侵的账户随后被用来重置其他服务的账户密码,包括 Coinbase 和 Gemini 加密货币交易。

网络安全公司 Mandiant 表示,至少从 2023 年 8 月下旬起,Citrix 漏洞就已被作为零日漏洞并被积极利用,以窃取验证会话和劫持账户。官方已于今年10月发布了修补补丁,该公司还警告说,即使在安装安全更新后,被劫持的会话仍然存在。根据被劫持账户的权限,但Mandiant 警告称,即使在安装安全更新后,被劫持的会话仍然存在,攻击者可能会利用该方法进行横向移动或破坏更多账户。