Deux chercheurs en sécurité ont découvert un bug dans le portail d'activation en ligne de Comcast qui révélait l'adresse personnelle d'un client ainsi que le nom et le mot de passe du réseau Wi-Fi en texte brut. Quelques heures après avoir pris connaissance de la faille découverte par Karan Saini et Ryan Stevenson, Comcast a fermé le site d'activation Xfinity, citant la sécurité des clients comme sa principale préoccupation.
Pour que les clients puissent activer leurs routeurs, ils doivent se rendre dans un Xfinity site Web d'activation pour saisir certaines informations utilisateur afin de configurer leur routeur et service. Saini et Stevenson ont découvert que même si le site Web demande l'adresse complète d'un client, il suffit d'un numéro d'appartement ou de maison ainsi que d'un identifiant de compte. Les deux informations nécessaires pour accéder au portail d’activation pouvaient facilement être trouvées sur une facture rejetée.
Vidéos recommandées
Le portail d'activation continue de fonctionner et renvoie des informations sur le client et le réseau Wi-Fi même après l'activation du routeur et du service haut débit domestique.
En rapport
- Le système commercial de New World s'est arrêté après un bug permettant aux joueurs de dupliquer l'or
- Comcast ajoute Hulu à Xfinity Flex et X1 alors que la distance sociale s'accélère
- La nouvelle fonctionnalité Comcast limite le temps que les enfants passent sur Internet
Si un client utilise un Routeur de marque Comcast ou Xfinity, le portail d'activation continue de renvoyer des informations réseau mises à jour. Ainsi, si un client modifie le nom du réseau ou le mot de passe, ces dernières informations seront affichées lors de l'activation portail. ZDNet a noté qu’il n’y a aucun moyen pour un client de se retirer de ce système. Pour les clients utilisant leur propre routeur, la publication a découvert que le portail n’a pas accès au nom et au mot de passe du réseau Wi-Fi à afficher.
Au premier niveau, le problème de sécurité est que les données réseau et l’adresse personnelle du client ne sont pas protégées en exigeant des informations qui ne sont pas facilement disponibles via un relevé de compte. De plus, une fois qu’un pirate informatique obtient les données du réseau, il peut les utiliser de manière malveillante s’il se trouve à proximité du réseau Wi-Fi. L'ID réseau et le mot de passe peuvent être utilisés pour accéder au trafic Web non crypté qui passe par le routeur. De plus, les pirates peuvent également bloquer temporairement l'accès des utilisateurs en modifiant le nom et le mot de passe du réseau une fois qu'ils y ont accès.
Comcast a depuis désactivé cette fonctionnalité sur son site Internet pour corriger la faille de sécurité. "Quelques heures après avoir pris connaissance de ce problème, nous l'avons fermé", a déclaré à ZDnet un porte-parole de Comcast. "Nous menons une enquête approfondie et prendrons toutes les mesures nécessaires pour garantir que cela ne se reproduise plus." Dans une déclaration distincte à Gizmodo, Comcast a noté qu'il ne pense pas que des données aient été consultées de manière inappropriée à la suite de ce bug.
La nouvelle du bug arrive à un moment où Comcast lance le sien accessoire de réseau maillé.
Recommandations des rédacteurs
- Plus de 80 % des sites Web que vous visitez volent vos données
- Xfinity Mobile ajoute la 5G à ses réseaux – gratuitement
- Comcast clarifie son offre gratuite Xfinity Flex pour les clients Internet uniquement
- Les clients Xfinity Mobile peuvent désormais apporter leur propre appareil Android à l'opérateur
- Comcast permet aux personnes handicapées physiques de contrôler un téléviseur d'un simple coup d'œil
Améliorez votre style de vieDigital Trends aide les lecteurs à garder un œil sur le monde en évolution rapide de la technologie avec toutes les dernières nouvelles, des critiques de produits amusantes, des éditoriaux perspicaces et des aperçus uniques.
