Dos investigadores de seguridad descubrieron un error dentro del portal de activación en línea de Comcast que revelaba la dirección particular de un cliente junto con el nombre de la red Wi-Fi y la contraseña en texto sin formato. A las pocas horas de enterarse de la falla descubierta por Karan Saini y Ryan Stevenson, Comcast cerró el sitio de activación de Xfinity, citando la seguridad del cliente como su principal preocupación.
Para que los clientes activen sus enrutadores, deben visitar un Xfinity sitio web de activación para ingresar cierta información del usuario para configurar su enrutador y servicio. Saini y Stevenson descubrieron que, aunque el sitio web solicita la dirección completa del cliente, solo se necesitaba el número de apartamento o casa junto con una identificación de cuenta. Ambos datos necesarios para acceder al portal de activación se pueden encontrar fácilmente en un billete desechado.
Vídeos recomendados
El portal de activación continúa funcionando y devuelve información sobre el cliente y la red Wi-Fi incluso después de que se haya activado el enrutador y el servicio de banda ancha residencial.
Relacionado
- El sistema de comercio del Nuevo Mundo se cerró después de que un error permitiera a los jugadores duplicar oro
- Comcast agrega Hulu a Xfinity Flex y X1 a medida que aumenta el distanciamiento social
- La nueva función de Comcast limita la cantidad de tiempo que los niños pasan en Internet
Si un cliente está utilizando un Enrutador de la marca Comcast o Xfinity, el portal de activación continúa devolviendo información de red actualizada, por lo que si un cliente cambia el nombre de la red o la contraseña, esa información más reciente se mostrará en la activación portal. ZDNet Tenga en cuenta que no hay forma de que un cliente opte por no participar en este sistema. Para los clientes que utilizan su propio enrutador, la publicación descubrió que el portal no tiene acceso al nombre y la contraseña de la red Wi-Fi para mostrar.
En el nivel principal, el problema de seguridad es que los datos de la red y la dirección particular del cliente no están protegidos al requerir información que no está disponible a través de un estado de cuenta. Además, una vez que un pirata informático obtiene los datos de la red, puede utilizarlos de forma maliciosa si se encuentra muy cerca de la red Wi-Fi. El ID de red y la contraseña podrían usarse para obtener acceso al tráfico web no cifrado que pasa a través del enrutador. Además, los piratas informáticos también pueden bloquear temporalmente a los usuarios cambiando el nombre de la red y la contraseña una vez que tengan acceso.
Desde entonces, Comcast deshabilitó esta función en su sitio web para corregir la falla de seguridad. "A las pocas horas de enterarnos de este problema, lo cerramos", dijo un portavoz de Comcast a ZDnet. "Estamos llevando a cabo una investigación exhaustiva y tomaremos todas las medidas necesarias para garantizar que esto no vuelva a suceder". En una declaración separada a Gizmodo, Comcast señaló que no cree que se haya accedido incorrectamente a ningún dato como resultado de este error.
La noticia del error llega en un momento en que Comcast está lanzando el suyo propio. accesorio de red de malla.
Recomendaciones de los editores
- Más del 80% de los sitios web que visitas roban tus datos
- Xfinity Mobile agrega 5G a sus redes, gratis
- Comcast aclara su oferta gratuita de Xfinity Flex para clientes solo de Internet
- Los clientes de Xfinity Mobile ahora pueden traer su propio dispositivo Android al operador
- Comcast permite a personas con discapacidad física controlar un televisor con sólo un vistazo
Mejora tu estilo de vidaDigital Trends ayuda a los lectores a mantenerse al tanto del vertiginoso mundo de la tecnología con las últimas noticias, reseñas divertidas de productos, editoriales interesantes y adelantos únicos.
