Le 18 décembre, Comcast a informé ses clients d’un « récent incident de sécurité des données » avec l’un de ses éditeurs de logiciels qui a exposé leurs informations personnelles à un tiers. En octobre, quelqu’un a obtenu un « accès non autorisé » aux noms d’utilisateur et aux mots de passe hachés des clients pendant une période de quatre jours. Et c’est encore pire : Comcast affirme que « pour certains clients, d’autres informations étaient également incluses, telles que les noms, les coordonnées, les quatre derniers chiffres de leur numéro de sécurité sociale, leur date de naissance et/ou des questions et réponses secrètes ».
Comme le rapporte CBS News, la violation de données semble avoir essentiellement affecté tout le monde abonné à Xfinity, soit quelque 36 millions d’abonnés Comcast Xfinity. La société a déclaré plus de 32 millions de clients Internet dans un récent rapport sur les résultats ; selon la notification de violation de données que Comcast a déposée lundi auprès du bureau du procureur général du Maine, le piratage d’octobre a touché 35 879 455 personnes. Cela représente près de 36 millions, « y compris les résidents », ce qui signifie vraisemblablement les membres du foyer des abonnés Xfinity. Il est donc difficile de déterminer exactement combien de clients ont été victimes de la violation, mais peu importe, si vous êtes abonné à Xfinity, modifiez votre mot de passe immédiatement.
Selon Comcast, la société avait déterminé « que les informations avaient probablement été acquises » lors de la violation du 16 novembre, puis il a fallu attendre le 6 décembre pour déterminer que les informations comprenaient des noms d’utilisateur, des mots de passe hachés, etc.
Je suis sûr qu’il y a une montagne de formalités administratives et de responsabilités juridiques à parcourir avant de signaler une violation qui affecte 36 millions de personnes – mais Comcast aurait également pu potentiellement dire à ces 36 millions de personnes de modifier leurs mots de passe et leurs questions de sécurité. il y a plus d’un mois. La société a donné à celui qui l’a piraté un mois supplémentaire complet pour utiliser ces informations compromettantes.
Le gouvernement américain a récemment fait pression pour davantage de réglementation en matière de cybersécurité, et une nouvelle mesure de la SEC sur la gestion des risques de cybersécurité, qui vient d’entrer en vigueur le 18 décembre, oblige les entreprises à divulguer « tout incident de cybersécurité qu’elles jugent important ». [to investors] » dans un délai de quatre jours ouvrables. Bien que la SEC ait pour objectif principal de protéger le marché boursier ici, nous espérons que les règles profiteront également à toute personne touchée par une violation grave comme celle-ci en accélérant le processus de notification.
Xfinity invite désormais les abonnés Internet à réinitialiser leurs mots de passe. Si vous avez été concerné, assurez-vous également de modifier votre mot de passe sur tout autre service pour lequel vous avez utilisé le même mot de passe et assurez-vous d’activer l’authentification à deux facteurs partout où vous le pouvez. Vous devez également modifier vos questions de sécurité et/ou activer l’authentification à deux facteurs sur tous les services sur lesquels vous avez utilisé les mêmes questions de sécurité, car celles-ci pourraient potentiellement être utilisées pour accéder à votre compte même sans le mot de passe.