El 1 de diciembre de 2020, el equipo de investigación de WebsitePlanet , en cooperación con el investigador de seguridad Jeremiah Fowler, descubrió una base de datos no protegida por contraseña que contenía más de 1.500 millones de registros. Hubo referencias a Comcast en toda la base de datos, incluidos varios subdominios, direcciones URL y direcciones IP internas. Los registros públicamente visibles incluían permisos del panel de control, registros, IP de clientes, direcciones de correo electrónico @comcast y contraseñas hash.
Este era el contenido de la base de datos:
- El tamaño total de la base de datos era de 477,95 GB y contenía 1.507.301.521 (1,5 mil millones) de registros.
- Había una gran cantidad de direcciones IP internas y remotas, nombres de nodos y otros detalles que podrían proporcionar un modelo para la funcionalidad interna, el registro y la estructura general de la red. Incluso si se trata de un entorno de no producción, potencialmente refleja la estructura de datos primarios y podría, hipotéticamente, exponer cómo funciona el monitoreo o proporcionar pistas sobre dónde se almacenan los datos del cliente o de producción.
- Además de los registros técnicos mencionados anteriormente, el servidor expuso las direcciones de correo electrónico y las contraseñas hash del equipo de desarrollo de Comcast. Además de registros de errores, alertas y registros de programación de trabajos que revelaron nombres de clústeres, nombres de dispositivos y muchas reglas y tareas internas marcadas como "Privilegiados = Verdadero".
- Finalmente, se encontraron direcciones IP, puertos, rutas e información de almacenamiento que los ciberdelincuentes podrían explotar para acceder más profundamente a la red. Los registros de errores también identificaron el middleware que también podría usarse como una ruta secundaria para malware u otras vulnerabilidades.
El ingeniero de Seguridad a cargo de la investigación informó de manera rápida y efectiva a los ingenieros de seguridad de Comcast, los cuales al interesarse de esta fuga de información, tomaron contacto con Jeremiah y lograron cerrar el acceso a la base de datos expuesta.-
Eventos anteriores
En 2018, Comcast Xfinity tuvo un incidente de datos que expuso las direcciones de los hogares y los números de seguridad social de más de 26.5 millones de usuarios. En 2015, Comcast pagó un acuerdo de $ 33 millones por filtrar miles de números de teléfono no listados. En 2014, Comcast sufrió un ataque interno cuando un empleado le dio a 2 personas no autorizadas acceso a una herramienta de administración remota. Robaron aproximadamente 24,5 millones de información de identificación personal (PII) de personas.
En este incidente, cualquier persona con una conexión a Internet pudo ver entre bastidores cómo Comcast registra errores, tareas laborales, permisos, middleware que utilizan para conectar su infraestructura y mucho más. La verdadera amenaza sería la ingeniería social del equipo de desarrollo para obtener credenciales u otra información confidencial sobre la red de Comcast. Exponer qué middleware se está utilizando también podría proporcionar una ruta secundaria para el malware. El middleware es el pegamento del software que ayuda a las aplicaciones a trabajar juntas, pero generalmente requiere el trabajo interminable de parches y actualizaciones de seguridad.
https://www.websiteplanet.com/blog/comcast-leak-report/
