Spisu treści:
Usługa internetowa / telewizyjna / domowa telefonia Comcast Xfinity jest jedną z najpopularniejszych w Stanach Zjednoczonych i według raportu BuzzFeed News dwie indywidualne luki w zabezpieczeniach pozostawiły numery ubezpieczenia społecznego i adresy domowe wszystkich 26, 5 miliona subskrybentów odsłoniętych i dostępnych dla nawet początkujący hakerzy.
Comcast mówi, że nie ma powodu, aby sądzić, że jakiekolwiek informacje zostały rzeczywiście skradzione, ale mimo to oto, co powinieneś wiedzieć o tym, co się dzieje.
Co się stało?
Pierwsza z dwóch luk umożliwiła atakującym uzyskanie pełnych adresów klientów za pomocą wewnętrznego systemu uwierzytelniania Comcast.
Po podłączeniu do domowej sieci Xfinity, możesz zalogować się, aby zapłacić rachunek, po prostu wybierając prawidłowy adres z listy pięciu (patrz obrazek powyżej).
Jak zauważa BuzzFeed News w swoim artykule:
Jeśli haker uzyskał adres IP klienta i sfałszował Comcast przy użyciu techniki „X-forwarded-for”, może wielokrotnie odświeżać tę stronę logowania, aby ujawnić lokalizację klienta. Jest tak, ponieważ za każdym razem, gdy strona jest odświeżana, zmieniają się trzy adresy, podczas gdy jeden adres, poprawny adres, pozostaje taki sam.
Druga podatność może być jeszcze bardziej szkodliwa, ponieważ ujawnia cztery ostatnie cyfry numerów ubezpieczenia społecznego, Na stronie logowania Autoryzowanych Dealerów Comcast (pracownicy Comcast, którzy sprzedają usługę u innych sprzedawców), strona „Exisitng Customer Address” prosi o adres użytkownika, cztery ostatnie cyfry numeru SSN, PIN konta i numer prawa jazdy.
Ostatnie cztery cyfry numeru ubezpieczenia społecznego są pokazane na tej stronie, a posiadając tylko adres rozliczeniowy klienta, osoba atakująca może użyć ataku siłowego, aby wielokrotnie wprowadzać kombinacje czterocyfrowe, dopóki nie uzyska właściwego dopasowania. Wiadomości na temat BuzzFeed:
Ponieważ strona logowania nie ograniczyła liczby prób, hakerzy mogli użyć programu, który działa, dopóki właściwy formularz ubezpieczenia społecznego nie zostanie wprowadzony do formularza.
Co możesz zrobić, aby się chronić
Wewnętrzny system uwierzytelniania został wyłączony po tym, jak Comcast został poinformowany o luce, a dla zalogowania się Autoryzowanego Dealera Comcast twierdzi, że został on „ściśle określony w portalu”, aby zapobiec nadużyciom.
Mimo że Comcast nadal prowadzi dochodzenie w tej sprawie, firma twierdzi, że nie uważa, aby jakiekolwiek informacje zostały wykorzystane w niewłaściwy sposób.
Mimo to nigdy nie jest to zły pomysł, aby zaktualizować hasło lub zacząć używać uwierzytelniania dwuskładnikowego dla wszystkich kont online, gdy pojawi się coś takiego. W takich sytuacjach nigdy nie możesz być zbyt bezpieczny.
Najlepsi menedżerowie haseł dla Androida
