Двама изследователи по сигурността откриха бъг в онлайн портала за активиране на Comcast, който разкрива домашния адрес на клиента заедно с името и паролата на Wi-Fi мрежата в обикновен текст. В рамките на часове след като научиха за недостатъка, разкрит от Karan Saini и Ryan Stevenson, Comcast затвори сайта за активиране на Xfinity, цитирайки сигурността на клиентите като основна грижа.
За да могат клиентите да активират своите рутери, те трябва да посетят Xfinity уебсайт за активиране, за да въведете потребителска информация, за да настроите техните рутер и обслужване. Сайни и Стивънсън откриха, че въпреки че уебсайтът иска пълния адрес на клиента, е необходим само номер на апартамент или къща заедно с идентификатор на акаунт. И двете части информация, необходими за получаване на достъп до портала за активиране, могат лесно да бъдат намерени на изхвърлена банкнота.
Препоръчани видеоклипове
Порталът за активиране продължава да работи и връща информация за клиента и Wi-Fi мрежата дори след като рутерът и домашната широколентова услуга са активирани.
Свързани
- Търговската система на New World се затвори след грешка, която позволява на играчите да дублират злато
- Comcast добавя Hulu към Xfinity Flex и X1, докато социалното дистанциране се увеличава
- Новата функция на Comcast ограничава времето, което децата прекарват в интернет
Ако клиент използва a Рутер с марка Comcast или Xfinity, тогава порталът за активиране продължава да връща актуализирана мрежова информация, така че ако клиент промени името или паролата на мрежата, последната информация ще се покаже при активирането портал. ZDNet отбеляза, че няма начин клиентът да се откаже от тази система. За клиенти, използващи собствен рутер, публикацията откри, че порталът няма достъп до името на Wi-Fi мрежата и паролата за показване.
На основно ниво проблемът за сигурността е, че мрежовите данни и домашният адрес на клиента не са защитени чрез изискване на информация, която не е лесно достъпна чрез извлечение от акаунта. Освен това, след като хакер получи мрежовите данни, той може да ги използва по злонамерен начин, ако е в непосредствена близост до Wi-Fi мрежата. Мрежовият идентификатор и паролата могат да се използват за получаване на достъп до некриптиран уеб трафик, който преминава през рутера. Освен това хакерите могат временно да блокират потребителите чрез промяна на името и паролата на мрежата, след като имат достъп.
Оттогава Comcast деактивира тази функция на уебсайта си, за да коригира пропуска в сигурността. „В рамките на часове след като научихме за този проблем, ние го затворихме“, каза говорител на Comcast пред ZDnet. „Провеждаме задълбочено разследване и ще предприемем всички необходими стъпки, за да гарантираме, че това няма да се случи отново.“ В отделно изявление до Gizmodo, Comcast отбеляза, че не смята, че е имало неправилен достъп до някакви данни в резултат на тази грешка.
Новината за грешката идва в момент, когато Comcast стартира своя собствена аксесоар за мрежова мрежа.
Препоръки на редакторите
- Повече от 80% от уебсайтовете, които посещавате, крадат вашите данни
- Xfinity Mobile добавя 5G към своите мрежи — безплатно
- Comcast изяснява безплатната си оферта Xfinity Flex за клиенти само с интернет
- Клиентите на Xfinity Mobile вече могат да донесат свое собствено устройство с Android на оператора
- Comcast позволява на хора с физически увреждания да контролират телевизор само с един поглед
Надградете начина си на животDigital Trends помага на читателите да следят забързания свят на технологиите с всички най-нови новини, забавни ревюта на продукти, проницателни редакционни статии и единствени по рода си кратки погледи.
