Kaksi tietoturvatutkijaa paljasti virheen Comcastin online-aktivointiportaalista, joka paljasti asiakkaan kotiosoitteen sekä Wi-Fi-verkon nimen ja salasanan pelkkänä tekstinä. Muutaman tunnin kuluessa siitä, kun Comcast sai tietää Karan Sainin ja Ryan Stevensonin havaitsemasta puutteesta, Comcast sulki Xfinityn aktivointisivuston vetoamalla asiakkaiden turvallisuuteen tärkeimpänä huolenaiheensa.
Jotta asiakkaat voivat aktivoida reitittimensä, heidän on vierailtava osoitteessa Xfinity aktivointisivustolla syöttääksesi joitain käyttäjätietoja niiden määrittämistä varten reititin ja palvelu. Saini ja Stevenson huomasivat, että vaikka sivusto kysyy asiakkaan koko osoitetta, tarvittiin vain asunnon tai talon numero sekä tilitunnus. Molemmat aktivointiportaaliin pääsyyn tarvittavat tiedot löytyivät helposti hylätystä laskusta.
Suositellut videot
Aktivointiportaali jatkaa toimintaansa ja palauttaa tietoja asiakkaasta ja Wi-Fi-verkosta senkin jälkeen, kun reititin ja kodin laajakaistapalvelu on aktivoitu.
Liittyvät
- Uuden maailman kauppajärjestelmä suljettiin virheen jälkeen, jolloin pelaajat voivat kopioida kultaa
- Comcast lisää Hulun Xfinity Flexiin ja X1:een sosiaalisen etäisyyden lisääntyessä
- Uusi Comcast-ominaisuus rajoittaa aikaa, jonka lapset viettävät Internetissä
Jos asiakas käyttää a Comcast- tai Xfinity-merkkinen reititin, niin aktivointiportaali jatkaa päivitettyjen verkkotietojen palauttamista, joten jos asiakas muuttaa verkon nimeä tai salasanaa, viimeisimmät tiedot näkyvät aktivoinnin yhteydessä portaali. ZDNet huomautti, että asiakas ei voi millään tavalla kieltäytyä tästä järjestelmästä. Omaa reititintä käyttäville asiakkaille julkaisu havaitsi, että portaalilla ei ole pääsyä Wi-Fi-verkon nimeen ja salasanaan näytettäväksi.
Ensisijaisella tasolla turvallisuushuolena on, että asiakkaan verkkotietoja ja kotiosoitetta ei suojata vaatimalla tietoja, joita ei ole helposti saatavilla tiliotteen kautta. Lisäksi, kun hakkeri on saanut verkkotiedot, hän voi käyttää niitä haitallisesti, jos hän on Wi-Fi-verkon välittömässä läheisyydessä. Verkkotunnusta ja salasanaa voidaan käyttää pääsyyn reitittimen läpi kulkevaan salaamattomaan verkkoliikenteeseen. Lisäksi hakkerit voivat myös väliaikaisesti lukita käyttäjät vaihtamalla verkon nimen ja salasanan, kun heillä on pääsy.
Comcast on sittemmin poistanut tämän ominaisuuden käytöstä verkkosivuillaan korjatakseen tietoturvavirheen. "Kun saimme tietää tästä ongelmasta, sammutimme sen", Comcastin tiedottaja kertoi ZDnetille. "Suoritamme perusteellisen tutkimuksen ja ryhdymme kaikkiin tarvittaviin toimiin varmistaaksemme, ettei tämä toistu." Erillisessä lausunnossa Gizmodo, Comcast totesi, ettei se usko, että mitään tietoja olisi käytetty väärin tämän virheen seurauksena.
Uutiset virheestä tulevat aikaan, kun Comcast julkaisee oman mesh verkkotarvike.
Toimittajien suositukset
- Yli 80 % vierailemistasi verkkosivustoista varastaa tietojasi
- Xfinity Mobile lisää 5G-verkkoihinsa – ilmaiseksi
- Comcast selventää ilmaista Xfinity Flex -tarjoustaan vain Internetiä käyttäville asiakkaille
- Xfinity Mobile -asiakkaat voivat nyt tuoda oman Android-laitteensa operaattorille
- Comcastin avulla fyysisesti vammaiset voivat hallita televisiota yhdellä silmäyksellä
Päivitä elämäntapasiDigital Trends auttaa lukijoita pysymään tekniikan nopeatempoisessa maailmassa uusimpien uutisten, hauskojen tuotearvostelujen, oivaltavien toimitusten ja ainutlaatuisten kurkistusten avulla.
