Quelqu’un a trouvé un moyen de contourner la mesure de sécurité de l’authentification à deux facteurs (2FA) chez Comcast Xfinity et de compromettre d’innombrables comptes, selon des rapports.
Après le contournement, les attaquants peuvent utiliser les comptes compromis pour essayer de prendre le contrôle des comptes d’échange de crypto-monnaie et des services de stockage en nuage.
Le 19 décembre, les utilisateurs de messagerie Xfinity ont commencé à être informés des modifications apportées aux informations de leur compte, mais leurs mots de passe ont déjà été modifiés, ils ne pouvaient donc pas entrer. Ceux qui ont réussi à revenir sur le compte ont découvert qu’une adresse e-mail secondaire avait été ajoutée au compte, à partir d’un domaine jetable yopmail.com.
Contourner 2FA
L’adresse e-mail secondaire est une mesure de sécurité utilisée par certains fournisseurs de messagerie qui facilitent la réinitialisation des mots de passe, les notifications de compte, etc.
De nombreuses victimes se sont rendues sur les forums Twitter, Reddit et Xfinity pour discuter de ce qui s’était passé et ont déclaré qu’elles avaient activé 2FA. Ainsi, celui qui était à l’origine de l’attaque a réussi à deviner le mot de passe avec credential stuffing, puis a réussi à contourner la mesure de sécurité d’authentification à deux facteurs. BleepingOrdinateur rapport indique que les attaquants ont utilisé un « contournement OTP (mot de passe à usage unique) à diffusion privée » qui leur a permis de générer des codes de vérification 2FA fonctionnels.
Cela leur a donné accès au compte et l’ajout du compte de messagerie secondaire jetable leur a permis d’effectuer le processus de réinitialisation du mot de passe.
Après avoir pris le contrôle total des comptes de messagerie compromis, les acteurs de la menace ont ensuite violé d’autres services en ligne, en supposant l’identité des personnes. (s’ouvre dans un nouvel onglet) pour demander la réinitialisation des e-mails. Dropbox, Evernote, Coinbase et Gemini ne sont que quelques-uns des services que les pirates ont tenté de violer.
Xfinity garde le silence sur la question pour le moment, mais un client a déclaré sur Reddit que la société était au courant de l’incident et enquêtait actuellement. La même source a également déclaré que, selon un employé du service client à qui ils ont parlé, le problème semble être assez répandu.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)