Violação de dados em empresa de telecomunicações expõe informação de 36 milhões de pessoas

O fornecedor de serviços de televisão por cabo e internet Xfinity revelou que foram expostos dados de cerca de 36 milhões de pessoas em meados de outubro.

Em causa está uma violação relacionada com uma vulnerabilidade ligada à Citrix, que anunciou em outubro passado a existência de um bug. Conhecida como “Citrix Bleed”, e rastreada como CVE-2023-4966, a vulnerabilidade afeta essencialmente os dispositivos NetScaler ADC e NetScaler Gateway, utilizados pelas organizações para gerirem o tráfego de rede.

Os dados em causa incluíam nomes de utilizadores e senhas. Noutros casos, foram ainda associadas outras informações de contacto, como datas de nascimento e perguntas de respostas secretas.

De acordo com o The Record, o ciberataque ocorreu entre 16 e 19 de outubro, depois de a Citrix ter anunciado o bug, mas antes de a empresa de telecomunicações ter corrigido os seus sistemas, a 23 de outubro.

A Citrix tem procurado alertar os especialistas de cibersegurança e o governo federal norte-americano para o perigo da exploração de vulnerabilidades por parte de cibercriminosos, que aproveitaram o bug para dirigir ataques contra vários setores, nomeadamente o da saúde, aviação, bancos e indústria.

A Xfinity encontra-se a investigar a violação em causa, tendo já pedido aos seus clientes para redefinirem as suas senhas e adicionarem a autenticação multifator.