Alguien encontró una manera de eludir la medida de seguridad de autenticación de dos factores (2FA) en Comcast Xfinity y comprometió innumerables cuentas, afirman los informes.
Después de la omisión, los atacantes pueden usar las cuentas comprometidas para intentar apoderarse de las cuentas de intercambio de criptomonedas y los servicios de almacenamiento en la nube.
El 19 de diciembre, los usuarios de correo electrónico de Xfinity comenzaron a recibir notificaciones sobre los cambios en la información de su cuenta, pero sus contraseñas ya habían sido cambiadas, por lo que no podían ingresar. Aquellos que lograron volver a ingresar a la cuenta descubrieron que se agregó una dirección de correo electrónico secundaria a la cuenta, desde un dominio desechable yopmail.com.
Omitir 2FA
La dirección de correo electrónico secundaria es una medida de seguridad utilizada por algunos proveedores de correo electrónico que ayudan con el restablecimiento de contraseñas, notificaciones de cuentas y similares.
Muchas de las víctimas recurrieron a los foros de Twitter, Reddit y Xfinity para discutir lo que había sucedido y dijeron que tenían habilitado 2FA. Entonces, quienquiera que estuviera detrás del ataque, logró adivinar la contraseña con el relleno de credenciales y luego logró eludir la medida de seguridad de autenticación de dos factores. BleepingComputer’s El informe afirma que los atacantes utilizaron una «omisión de OTP (contraseña de un solo uso) de circulación privada» que les permitió generar códigos de verificación 2FA funcionales.
Eso les dio acceso a la cuenta y, al agregar la cuenta de correo electrónico desechable secundaria, les permitió realizar el proceso de restablecimiento de contraseña.
Después de obtener el control total sobre las cuentas de correo electrónico comprometidas, los actores de amenazas procedieron a violar más servicios en línea, asumiendo las identidades de las personas. (se abre en una pestaña nueva) para solicitar restablecimientos de correo electrónico. Dropbox, Evernote, Coinbase y Gemini son solo algunos de los servicios que los actores de amenazas intentaron violar.
Xfinity guarda silencio sobre el asunto por el momento, pero un cliente dijo en Reddit que la empresa está al tanto del incidente y actualmente está investigando. La misma fuente también dijo que, según un empleado de atención al cliente con el que hablaron, el problema parece estar bastante extendido.
Vía: BleepingComputer (se abre en una pestaña nueva)