Xfinityのデータ侵害が同社により明らかになり、ハッカーが幅広い顧客情報を入手できた。

少なくとも一部の Xfinity 顧客から取得されたデータには、ユーザー名、ハッシュ化されたパスワード、実名、連絡先情報、生年月日、社会保障番号の下 4 桁、セキュリティの質問と回答などが含まれる可能性があります。

Xfinity は、このデータは先月発見された Citrix の脆弱性を通じて取得されたと述べている。

2023年10月10日、CitrixはXfinityおよび世界中の数千社が使用するソフトウェアに脆弱性があることを発表しました。Citrixは2023年10月23日に追加の緩和ガイダンスを発行しました。Xfinityは速やかにCitrixの脆弱性を修正し、システム内で脆弱性を軽減しました。しかし、10月25日の定期的なサイバーセキュリティ演習中に、Xfinityは不審な活動を発見し、その後、2023年10月16日から10月19日の間に、この脆弱性に起因すると結論付けられた社内システムへの不正アクセスがあったと判断しました。

Xfinityは連邦法執行機関に通報し、インシデントの性質と範囲に関する調査を開始しました。11月16日、Xfinityは情報が取得された可能性が高いと判断しました。影響を受けたシステムとデータの追加調査を行った結果、2023年12月6日、対象となる顧客情報にはユーザー名とハッシュ化されたパスワードが含まれていると結論付けました。一部の顧客については、氏名、連絡先情報、社会保障番号の下4桁、生年月日、秘密の質問と答えなど、その他の情報も含まれていた可能性があります。ただし、データ分析は継続中です。

少し曖昧に聞こえるかもしれませんが、実際その通りです。同社はどの顧客のどのようなデータが取得されたのかをまだ完全には特定していません。ただし、一部の顧客にパスワードのリセットを要求したことから、影響を受けた顧客の少なくとも一部は特定できたようです。

あらゆるデータ侵害の場合と同様に、パスワードのセキュリティとフィッシングの試みという 2 つの差し迫った懸念があります。

多くの人がサイバーセキュリティのルール1を無視し、複数のサービスで同じパスワードを使い回しています。Xfinityのお客様で、他のウェブサイトやアプリで同じパスワードを使用している方は、すぐにすべてのパスワードを変更し、この機会にユニークで強力なパスワードに変更してください。ハッカーがユーザー名とパスワードを入手したら、まず様々な他のサービスで試すからです。

第二に、Xfinityのお客様はフィッシング詐欺に特に注意する必要があります。詐欺師はXfinityや他の組織の社員を装う可能性があります。つまり、誰かがあなたやあなたのアカウントに関する情報を持っているように見えるからといって、それが本物だと決めつけてはいけません。この点に関する詳しいアドバイスは、こちらをご覧ください。

最後に、Xfinity アカウントでまだ 2 要素認証を使用していない場合は、今すぐ有効にすることをお勧めします。

1. アカウント設定で、  Xfinity ID と セキュリティに移動します。
2. そこから、  「2 段階認証」をタップして 有効化プロセスを開始します。
3. アカウントにメールアドレスと携帯電話番号がまだ登録されていない場合は、バックアップの連絡方法として追加して認証するよう求められます。2段階認証を有効にするには、アカウントにメールアドレスと携帯電話番号の両方が登録されている必要があります。注：  Xfinityのメールアドレスは使用できません。
4. メールアドレスと電話番号の確認が完了したら、「 オンにする」  （次のページ）をクリックして2段階認証を有効にしてください。デバイスで生体認証が有効になっている場合は、Xfinityアカウントにサインインするたびに、顔認証または指紋認証を使用してセキュリティをさらに強化するよう求めるメッセージが表示されます。

有効にすると、誰かがあなたのアカウントにログインしようとしたときに Xfinity アプリから通知が届き、通常は Face ID または Touch ID を使用してアプリ内で承認する必要があります。

Xfinity データ侵害に関する新たな情報が入手できれば更新します。

写真: RoonZ nl/Unsplash

havebin.com を Google ニュース フィードに追加します。