Quelqu'un a trouvé un moyen de contourner la mesure de sécurité de l'authentification à deux facteurs (2FA) sur Comcast Xfinity et de compromettre d'innombrables comptes, selon des rapports.
Après le contournement, les attaquants peuvent utiliser les comptes compromis pour tenter de prendre le contrôle des comptes d'échange de crypto-monnaie et des services de stockage en nuage.
Le 19 décembre, les utilisateurs de Xfinity Mail ont commencé à être informés des modifications apportées aux informations de leur compte, mais leurs mots de passe avaient déjà été modifiés, ils ne pouvaient donc pas se connecter. Ceux qui ont réussi à revenir sur le compte ont découvert qu'une adresse e-mail secondaire avait été ajoutée au compte, à partir d'un domaine jetable yopmail.com.
Ignorer 2FA
L'adresse e-mail secondaire est une mesure de sécurité utilisée par certains fournisseurs de messagerie qui facilite les réinitialisations de mot de passe, les notifications de compte, etc.
De nombreuses victimes se sont rendues sur les forums Twitter, Reddit et Xfinity pour discuter de ce qui s'était passé, affirmant qu'elles avaient activé 2FA. Ainsi, celui qui était à l'origine de l'attaque a réussi à deviner le mot de passe en utilisant le credential stuffing, puis a réussi à contourner la mesure de sécurité d'authentification à deux facteurs. Le rapport BleepingComputer indique que les attaquants ont utilisé un "contournement OTP (mot de passe à usage unique) de transmission privée" qui leur a permis de générer des codes de vérification 2FA fonctionnels.
Cela leur a donné accès au compte, et l'ajout du compte de messagerie secondaire jetable leur a permis de terminer le processus de réinitialisation du mot de passe.
Après avoir pris le contrôle total des comptes de messagerie compromis, les acteurs de la menace ont piraté d'autres services en ligne, en prenant l'identité des personnes (ouvre dans un nouvel onglet) pour demander la réinitialisation des e-mails. Dropbox, Evernote, Coinbase et Gemini ne sont que quelques-uns des services dans lesquels les pirates ont tenté de s'introduire.
Xfinity garde le silence sur la question pour le moment, mais un client a déclaré sur Reddit que la société était au courant de l'incident et enquêtait actuellement. La même source a également déclaré que, selon un employé du service client à qui ils ont parlé, le problème semble être assez répandu.
Via : BleepingComputer (Ouvre dans un nouvel onglet)