Xfinity数据泄露影响3500万用户

康卡斯特有线通信公司（以Xfinity名义运营）披露了一起影响超过3500万人的数据泄露事件。该公司表示，在10月份的一次常规网络安全演练期间，发现其内部系统存在可疑活动。随后确认在2023年10月16日至19日期间，攻击者通过Citrix软件漏洞（被称为Citrix Bleed）未授权访问了系统。

泄露数据范围

Xfinity确定信息很可能已被获取，涉及的客户数据包括用户名和哈希密码、联系信息、社会安全号码后四位、出生日期和/或安全问题与答案。公司表示数据分析仍在进行中。Xfinity已通知联邦执法机构，并启动了对事件性质和范围的调查。

康卡斯特发言人向Bleeping Computer提供的声明中表示，公司运营未受影响，事件发生后未收到赎金要求。

安全建议

Xfinity已要求客户重置密码以保护受影响账户。公司强烈建议客户启用双因素或多因素认证（MFA）来保护其Xfinity账户，并建议他们更改使用相同用户名、密码或安全问题的其他账户密码。

Specops Software高级经理Darren James评论道：“这次泄露特别令人担忧，因为已声明被盗的数据类型表明密码和识别性安全问题的答案已丢失。许多人在多个平台上重复使用相同的密码和安全问题，因此如果这些数据被暴露，不仅Xfinity账户易受攻击，可能还会影响许多其他服务。”

“即使密码可能已被哈希处理，根据使用的哈希算法和密码长度，使用相对廉价的硬件仍然可以相对快速地将这些哈希暴力破解回明文。安全问题与答案似乎根本没有被哈希处理。”

Citrix Bleed漏洞分析

Citrix Bleed漏洞（CVE-2023-4966）影响Netscaler Gateway和Netscaler ADC产品。它允许威胁行为者利用并绕过密码要求和MFA，劫持合法用户会话，获取提升权限以收集凭据、横向移动以及访问数据和资源。

Citrix于2023年10月10日发布了该漏洞的补丁，但自2023年8月下旬以来，攻击者一直在将其作为零日漏洞进行滥用。

Synopsys软件完整性集团首席安全顾问Thomas Richards表示：“Citrix Bleed漏洞特别令人担忧，因为它允许未经身份验证的远程攻击者从服务器获取敏感信息，如会话认证令牌。“一旦攻击者获得会话令牌，他们就可以冒充经过身份验证的用户并以该用户身份执行操作。

他补充说：“在康卡斯特的案例中，攻击者能够劫持员工的会话并访问该员工有权访问的相同系统。由于更好的安全设计实践，如今此类缓冲区溢出漏洞已较少见，但一旦发生，总是会造成损害。组织可以通过在供应商发布关键补丁后立即安装，并监控关键系统中的恶意流量来保护自己免受这些威胁。”