Les comptes Xfinity ont été violés malgré le système 2FA
Dans le cadre d'une vaste campagne de contournement de l'authentification à deux facteurs, plusieurs comptes de messagerie de Comcast Xfinity ont été piratés, et les comptes perturbés ont été utilisés pour réinitialiser les mots de passe d'autres services. Cette affaire survient peu après que Comcast Xfinity a annoncé des augmentations de prix pour la nouvelle année.
Les utilisateurs se lamentent sur les médias sociaux que, malgré l'utilisation de l'authentification à deux facteurs, les clients de l'entreprise de télécommunications américaine ont signalé que leurs comptes avaient été piratés. Ils ont également déclaré que les attaquants utilisent les comptes compromis pour accéder à d'autres services des victimes et les détourner, notamment Evernote, Dropbox et les bourses de crypto-monnaies Coinbase et Gemini.
Les attaquants ont commencé à envoyer des notifications aux utilisateurs de messagerie Xfinity concernant les modifications apportées aux informations de leur compte le 19 décembre. Les utilisateurs qui ne pouvaient initialement pas accéder à leur compte en raison de la modification de leur mot de passe ont fini par découvrir que leur compte avait été piraté et comprenait une messagerie secondaire dans le domaine @yopmail.com.
Entre-temps, selon un chercheur, les attaques sont menées à l'aide de credential stuffing attacks pour déterminer les identifiants de connexion des attaques Xfinity. Le chercheur poursuit en expliquant qu'une fois que les attaquants ont obtenu l'accès au compte et qu'ils sont invités à entrer leur code 2FA, ils utiliseraient un contournement OTP circulant en privé pour le site Xfinity afin de falsifier les demandes de vérification 2FA. Une fois connectés, ils peuvent changer l'adresse électronique secondaire pour le compte @yopmail.com et réinitialiser les mots de passe.
"À partir du 19 décembre, de nombreux utilisateurs de messagerie Xfinity ont commencé à recevoir des notifications indiquant que les informations de leur compte avaient été modifiées. Cependant, lorsqu'ils ont essayé d'accéder à leurs comptes, ils n'ont pas pu se connecter car les mots de passe avaient été modifiés", rapporte BleepingComputer. "Après avoir retrouvé l'accès aux comptes, ils ont découvert qu'ils avaient été piratés et qu'une adresse électronique secondaire au domaine jetable @yopmail.com avait été ajoutée à leur profil."
La réponse de Xfinity à la plainte d'un utilisateur après que son compte ait été compromis deux fois en 4 heures, était que l'utilisateur devait s'engager dans une lutte avec les pirates, et continuer à changer son mot de passe à chaque fois qu'il le changeait.
Comcast n'a pas encore publié de réponse publique.
Les sources de cet article comprennent un article de BleepingComputer.