Tartalomjegyzék:
A Comcast Xfinity internetes, TV / otthoni telefonszolgáltatása az egyik legnépszerűbb az Egyesült Államokban, és a BuzzFeed News jelentése szerint két egyéni biztonsági rés miatt az összes 26, 5 millió előfizető társadalombiztosítási száma és otthoni címe megmaradt és elérhető. még kezdő hackerek.
A Comcast szerint nincs ok azt hinni, hogy valamely információt ténylegesen ellopták, ám ennek ellenére itt kell tudnod arról, hogy mi történik.
Mi történt?
A két sérülékenység közül az első lehetővé tette a támadók számára, hogy a Comcast otthoni hitelesítési rendszerével az ügyfelek teljes címét megszerezzék.
Ha csatlakozik az otthoni Xfinity hálózathoz, bejelentkezhet a számla kifizetéséhez, ha egyszerűen kiválasztja a megfelelő címet az öt listából (lásd a fenti képet).
Amint a BuzzFeed News a cikkben megjegyzi:
Ha egy hacker megszerezte az ügyfél IP-címét és hamisította meg a Comcast-ot egy "X-forward-for" technikával, akkor ismételten frissítheti ezt a bejelentkezési oldalt, hogy felfedje az ügyfél helyét. Ennek oka az, hogy minden alkalommal, amikor az oldal frissül, három cím megváltozik, míg egy cím, a helyes cím változatlan maradt.
A második sebezhetőség még súlyosbító lehet, mivel feltárta a társadalombiztosítási számok utolsó négy számjegyét, A Comcast hivatalos viszonteladói bejelentkezési oldalán (a Comcast alkalmazottai, akik más szolgáltatóknál árusítják a szolgáltatást) az „Exisitng ügyfélcím” oldal a felhasználó címét, az SSN utolsó négy számjegyét, a fiók PIN-kódját és a járművezetői engedély számát kéri..
Az utolsó négy társadalombiztosítási számjegy megjelenik ezen az oldalon, és ha egy ügyfél számlázási címét megkapja, a támadó brute-force támadással felhasználhatja többszöri belépését a négyszámú kombókba, amíg meg nem kapják a megfelelő mérkőzést. Per BuzzFeed News:
Mivel a bejelentkezési oldal nem korlátozta a kísérletek számát, a hackerek olyan programot használhatnak, amely addig fut, amíg a megfelelő társadalombiztosítási számot be nem adják az űrlapba.
Mit tehetsz magad megóvása érdekében?
Az otthoni hitelesítési rendszert azóta letiltották, miután a Comcast-ot értesítették a sérülékenységről, és az Engedélyezett Viszonteladók bejelentkezésekor a Comcast szerint "szigorú tarifakorlátot helyeztek a portálra", hogy megakadályozzák a visszaélést.
Bár a Comcast még mindig nyomozást folytat az ügyben, a társaság szerint nem hiszi, hogy valamely információt helytelenül használták fel.
Ennek ellenére soha nem rossz ötlet frissíteni a jelszavát, vagy elkezdeni két tényezőjű hitelesítés használatát az összes online fióknál, amikor valami hasonló felbukkan. Ezekben a helyzetekben soha nem lehet túl biztonságos.
A legjobb jelszókezelők Androidra
