Оглавление:
Служба Comcast Xfinity для интернета / телевидения / домашнего телефона является одной из самых популярных в Соединенных Штатах, и согласно отчету BuzzFeed News, две уязвимости в системе безопасности сделали номера социального страхования и домашние адреса всех 26, 5 миллионов подписчиков открытыми и доступными для них. даже начинающие хакеры.
Comcast говорит, что нет никаких оснований полагать, что какая-то информация была фактически украдена, но даже в этом случае вот что вы должны знать о том, что происходит.
Что случилось?
Первая из двух уязвимостей позволила злоумышленникам получить полные адреса клиентов с помощью системы домашней аутентификации Comcast.
При подключении к домашней сети Xfinity вы можете войти в систему, чтобы оплатить счет, просто выбрав правильный адрес из списка из пяти (см. Рисунок выше).
Как отмечает BuzzFeed News в своей статье:
Если хакер получил IP-адрес клиента и подделал Comcast, используя технику «X-forwarded-for», он мог бы повторно обновить эту страницу входа в систему, чтобы узнать местонахождение клиента. Это связано с тем, что при каждом обновлении страницы три адреса меняются, а один адрес, правильный адрес, остается неизменным.
Вторая уязвимость может стать еще более опасной, поскольку она обнажила последние четыре цифры номеров социального страхования, На странице входа для авторизованных дилеров Comcast (сотрудники Comcast, которые продают услугу в других розничных магазинах), на странице «Exisitng Customer Address» запрашивается адрес пользователя, последние четыре цифры его SSN, пин-код учетной записи и номер лицензии водителя., Последние четыре цифры номера социального страхования показаны на этой странице, и, просто имея платежный адрес клиента, злоумышленник может использовать атаку грубой силой, чтобы повторно вводить комбинации из четырех чисел, пока не получит правильное совпадение. Новости BuzzFeed:
Поскольку страница входа не ограничивала количество попыток, хакеры могли использовать программу, которая запускается до тех пор, пока в форму не будет введен правильный номер социального страхования.
Что вы можете сделать, чтобы защитить себя
С тех пор система домашней аутентификации была отключена после того, как Comcast был проинформирован об этой уязвимости, и для входа в систему авторизованного дилера Comcast говорит, что он установил «строгий лимит скорости на портале», чтобы предотвратить его злоупотребление.
Хотя Comcast все еще проводит расследование по этому вопросу, компания заявляет, что не считает, что какая-либо информация использовалась неправомерно.
Несмотря на это, никогда не бывает плохой идеей обновить свой пароль или начать использовать двухфакторную аутентификацию для всех ваших учетных записей в Интернете, когда что-то подобное появляется. В этих ситуациях вы никогда не сможете быть в безопасности.
Лучшие менеджеры паролей для Android
