Cuentas de Xfinity violadas a pesar del 2FA
En una amplia campaña para eludir la autenticación de dos factores, varias cuentas de correo electrónico de Comcast Xfinity fueron pirateadas, y las cuentas alteradas se utilizaron para restablecer contraseñas de otros servicios. Esto ocurre poco después de que Comcast Xfinity anunciara aumentos de precios para el nuevo año.
Los usuarios se lamentan a través de las redes sociales de que, a pesar del uso de la autenticación de dos factores, los clientes de la empresa de telecomunicaciones estadounidense informaron de que sus cuentas habían sido pirateadas. También afirmaron que los atacantes están utilizando las cuentas comprometidas para acceder y secuestrar otros servicios de las víctimas, entre ellos Evernote, Dropbox y las bolsas de criptomonedas Coinbase y Gemini.
Los atacantes empezaron a enviar notificaciones a los usuarios de correo electrónico de Xfinity sobre cambios en la información de sus cuentas el 19 de diciembre, y los usuarios que inicialmente no podían acceder a sus cuentas debido al cambio de contraseñas acabaron descubriendo que sus cuentas habían sido pirateadas e incluían un correo electrónico secundario en el dominio @yopmail.com.
Mientras tanto, según un investigador, los ataques se están llevando a cabo utilizando ataques de relleno de credenciales para determinar las credenciales de inicio de sesión de los ataques de Xfinity. El investigador continuó explicando que una vez que los atacantes obtienen acceso a la cuenta y se les pide que introduzcan su código 2FA, supuestamente utilizan un bypass OTP de circulación privada para el sitio de Xfinity para falsificar las solicitudes de verificación 2FA con éxito. Una vez conectados, pueden cambiar la dirección de correo electrónico secundaria a la cuenta @yopmail.com y restablecer las contraseñas.
"A partir del 19 de diciembre, muchos usuarios de correo electrónico de Xfinity empezaron a recibir notificaciones de que la información de sus cuentas había cambiado. Sin embargo, al intentar acceder a las cuentas, no podían iniciar sesión porque las contraseñas habían sido cambiadas", informó BleepingComputer. "Tras recuperar el acceso a las cuentas, descubrieron que habían sido pirateadas y que se había añadido a su perfil un correo electrónico secundario en el dominio desechable @yopmail.com".
La respuesta de Xfinity a la queja de un usuario después de que su cuenta se viera comprometida dos veces en 4 horas, fue que el usuario debía entablar una lucha con los piratas informáticos, y volver a cambiar la contraseña cada vez después de haberla cambiado.
Comcast aún no ha emitido una respuesta pública.
Las fuentes de este artículo incluyen un artículo en BleepingComputer.