Ganze 13 Tage hat das US-Telekommunikationsunternehmen Xfinity gewartet, um eine kritische Sicherheitslücke in Netscaler von Citrix zu patchen. Jetzt zahlt das Unternehmen, respektive dessen Kundschaft, einen hohen Preis dafür: Die Daten von knapp 36 Millionen Kundinnen und Kunden wurden gestohlen. Dies geht aus einer Meldung des Unternehmens bei der General­staatsanwaltschaft des Bundesstaats Maine hervor.

Im Oktober hat Citrix vor einer kritischen Zero-Day-Lücke in seinen Netscaler ADC/Gateway-Geräten gewarnt. Diese ermöglichte es Cyberkriminellen unter gewissen Umständen auf vertrauliche Informationen zuzugreifen. Die Schwachstelle wurde als CVE-2023-4966 klassifiziert und unter dem Namen Citrix Bleed geführt. Am 10. Oktober wurde ein Patch dafür veröffentlicht. Comcast, die Muttergesellschaft von Xfinity, hat sein Netzwerk allerdings erst am 23. Oktober gepatcht.

"Wir haben festgestellt, dass es vor der Behebung der Schwachstelle, zwischen dem 16. und 19. Oktober 2023, einen unbefugten Zugriff auf unsere internen Systeme gab, der auf diese Lücke zurückzuführen war", heisst es in einer Mitteilung des Unternehmens. "Wir haben die Strafverfolgungsbehörden des Bundes benachrichtigt und eine Untersuchung durchgeführt. Am 16. November 2023 wurde festgestellt, dass wahrscheinlich Daten abgeflossen sind."

Laut 'ARS Technica' untersucht Comcast derzeit noch, welche Daten von Xfinity die Angreifer genau erbeutet haben. Bisher waren nach Angaben des Magazins unter anderem Benutzernamen, Namen, gehashte Passwörter, Kontaktinformationen, die letzten 4 Ziffern der Sozialversicherungsnummer, Geburtsdatum oder geheime Fragen und Antworten betroffen. Xfinity hat deshalb alle Passwörter zurückgesetzt und empfiehlt seinen Kunden die Aktivierung einer Mehr-Faktor-Authentifizierung.