To sikkerhetsforskere avdekket en feil i Comcasts nettaktiveringsportal som avslørte en kundes hjemmeadresse sammen med Wi-Fi-nettverkets navn og passord i ren tekst. I løpet av timer etter å ha lært om feilen som ble avdekket av Karan Saini og Ryan Stevenson, stengte Comcast ned Xfinity-aktiveringssiden, med henvisning til kundesikkerhet som den største bekymringen.
For at kundene skal aktivere sine rutere, må de besøke en Xfinity aktiveringsnettstedet for å legge inn brukerinformasjon for å konfigurere deres ruter og service. Saini og Stevenson oppdaget at selv om nettstedet ber om en kundes fullstendige adresse, var det bare behov for en leilighet eller et husnummer sammen med en konto-ID. Begge deler av informasjonen som kreves for å få tilgang til aktiveringsportalen kunne lett bli funnet på en kassert regning.
Anbefalte videoer
Aktiveringsportalen fortsetter å fungere og returnerer informasjon om kunden og Wi-Fi-nettverket også etter at ruteren og hjemmebredbåndstjenesten er aktivert.
I slekt
- New Worlds handelssystem stenges av etter feil lar spillere duplisere gull
- Comcast legger Hulu til Xfinity Flex og X1 etter hvert som sosial distansering øker
- Ny Comcast-funksjon begrenser hvor lang tid barna bruker på internett
Hvis en kunde bruker en Comcast eller Xfinity-merket ruter, så fortsetter aktiveringsportalen å returnere oppdatert nettverksinformasjon, så hvis en kunde endrer nettverksnavnet eller passordet, vil den siste informasjonen vises ved aktiveringen portal. ZDNet bemerket at det ikke er noen måte for en kunde å velge bort dette systemet. For kunder som bruker sin egen ruter, oppdaget publikasjonen at portalen ikke har tilgang til Wi-Fi-nettverkets navn og passord for å vise.
På primærnivå er sikkerhetsproblemet at kundens nettverksdata og hjemmeadresse ikke er beskyttet ved å kreve informasjon som ikke er lett tilgjengelig gjennom en kontoutskrift. Videre, når en hacker får tak i nettverksdataene, kan de bruke dem på en ondsinnet måte hvis de er i nærheten av Wi-Fi-nettverket. Nettverks-ID og passord kan brukes til å få tilgang til ukryptert nettrafikk som går gjennom ruteren. I tillegg kan hackere også midlertidig låse brukere ute ved å endre nettverksnavnet og passordet når de har tilgang.
Comcast har siden deaktivert denne funksjonen på nettstedet for å rette opp sikkerhetsfeilen. "I løpet av timer etter å ha lært om dette problemet, stengte vi det," sa en talsperson for Comcast til ZDnet. "Vi gjennomfører en grundig etterforskning og vil ta alle nødvendige skritt for å sikre at dette ikke skjer igjen." I en egen uttalelse til Gizmodo, Comcast bemerket at det ikke tror at noen data ble feilaktig tilgang til som et resultat av denne feilen.
Nyheter om feilen kommer på et tidspunkt da Comcast lanserer sin egen mesh nettverkstilbehør.
Redaktørenes anbefalinger
- Mer enn 80 % av nettstedene du besøker stjeler dataene dine
- Xfinity Mobile legger til 5G til sine nettverk – gratis
- Comcast presiserer sitt gratis Xfinity Flex-tilbud for kun internettkunder
- Xfinity Mobile-kunder kan nå ta med sin egen Android-enhet til operatøren
- Comcast lar personer med fysiske funksjonshemminger kontrollere en TV med bare et blikk
Oppgrader livsstilen dinDigitale trender hjelper leserne å følge med på den fartsfylte teknologiverdenen med alle de siste nyhetene, morsomme produktanmeldelser, innsiktsfulle redaksjoner og unike sniktitter.
