Twee beveiligingsonderzoekers ontdekten een bug in het online activatieportaal van Comcast, die het thuisadres van een klant samen met de wifi-netwerknaam en het wachtwoord in platte tekst onthulde. Binnen enkele uren nadat Comcast hoorde van de fout die door Karan Saini en Ryan Stevenson was ontdekt, sloot Comcast de Xfinity-activeringssite af, waarbij de veiligheid van de klant als zijn grootste zorg werd aangehaald.
Om klanten hun routers te laten activeren, moeten ze een Xfiniteit activeringswebsite om gebruikersinformatie in te voeren om hun account in te stellen router en dienst. Saini en Stevenson ontdekten dat, hoewel de website om het volledige adres van een klant vraagt, er alleen een appartement- of huisnummer nodig was, samen met een account-ID. Beide stukjes informatie die nodig zijn om toegang te krijgen tot het activeringsportaal kunnen gemakkelijk worden gevonden op een weggegooid bankbiljet.
Aanbevolen video's
Het activeringsportaal blijft werken en geeft informatie over de klant en het Wi-Fi-netwerk terug, zelfs nadat de router en de breedbanddienst voor thuis zijn geactiveerd.
Verwant
- Het handelssysteem van de Nieuwe Wereld werd afgesloten nadat een bug spelers in staat stelde goud te dupliceren
- Comcast voegt Hulu toe aan Xfinity Flex en X1 naarmate de sociale afstand toeneemt
- Nieuwe Comcast-functie beperkt de hoeveelheid tijd die kinderen op internet doorbrengen
Als een klant gebruik maakt van een Router van het merk Comcast of Xfinity, dan blijft het activeringsportaal bijgewerkte netwerkinformatie retourneren, dus als een klant de netwerknaam of het wachtwoord wijzigt, wordt de laatste informatie weergegeven bij de activering portaal. ZDNet merkte op dat een klant zich op geen enkele manier kan afmelden voor dit systeem. Voor klanten die hun eigen router gebruiken, ontdekte de publicatie dat de portal geen toegang heeft om de naam en het wachtwoord van het Wi-Fi-netwerk weer te geven.
Op het primaire niveau is het beveiligingsprobleem dat de netwerkgegevens en het thuisadres van de klant niet worden beschermd door informatie te vereisen die niet direct beschikbaar is via een rekeningafschrift. Bovendien kan een hacker, zodra hij de netwerkgegevens heeft verkregen, deze op een kwaadaardige manier gebruiken als hij zich in de buurt van het Wi-Fi-netwerk bevindt. Het netwerk-ID en wachtwoord kunnen worden gebruikt om toegang te krijgen tot niet-gecodeerd webverkeer dat door de router gaat. Bovendien kunnen hackers gebruikers ook tijdelijk buitensluiten door de netwerknaam en het wachtwoord te wijzigen zodra ze toegang hebben.
Comcast heeft deze functie sindsdien op haar website uitgeschakeld om het beveiligingslek te corrigeren. “Binnen enkele uren nadat we van dit probleem hoorden, hebben we het afgesloten”, vertelde een woordvoerder van Comcast aan ZDnet. “We voeren een grondig onderzoek uit en zullen alle noodzakelijke stappen ondernemen om ervoor te zorgen dat dit niet opnieuw gebeurt.” In een aparte verklaring aan Gizmodo, merkte Comcast op dat het niet gelooft dat er als gevolg van deze bug onrechtmatig toegang is verkregen tot gegevens.
Het nieuws over de bug komt op een moment dat Comcast zijn eigen bug lanceert mesh-netwerkaccessoire.
Aanbevelingen van de redactie
- Meer dan 80% van de websites die u bezoekt, steelt uw gegevens
- Xfinity Mobile voegt 5G gratis toe aan zijn netwerken
- Comcast verduidelijkt zijn gratis Xfinity Flex-aanbod voor klanten die alleen internet hebben
- Xfinity Mobile-klanten kunnen nu hun eigen Android-apparaat meenemen naar de provider
- Met Comcast kunnen mensen met een lichamelijke beperking in één oogopslag een tv bedienen
Upgrade uw levensstijlMet Digital Trends kunnen lezers de snelle technische wereld in de gaten houden met het laatste nieuws, leuke productrecensies, inzichtelijke redactionele artikelen en unieke sneak peeks.