Błąd witryny Comcast Wyciek danych klienta, powodujący zamknięcie

sklep comcast xfinity
Kena Woltera/123rf

Dwóch badaczy bezpieczeństwa odkryło błąd w internetowym portalu aktywacyjnym Comcast, który ujawniał adres domowy klienta wraz z nazwą sieci Wi-Fi i hasłem w postaci zwykłego tekstu. W ciągu kilku godzin od dowiedzenia się o luce wykrytej przez Karana Sainiego i Ryana Stevensona firma Comcast zamknęła witrynę aktywacyjną Xfinity, uznając bezpieczeństwo klienta za najważniejsze.

Aby klienci mogli aktywować swoje routery, muszą odwiedzić witrynę Xskończoność stronę aktywacyjną, w której można wprowadzić pewne informacje o użytkowniku w celu skonfigurowania routera i serwis. Saini i Stevenson odkryli, że chociaż witryna prosi o pełny adres klienta, wystarczy numer mieszkania lub domu i identyfikator konta. Obie informacje wymagane do uzyskania dostępu do portalu aktywacyjnego można łatwo znaleźć na wyrzuconym rachunku.

Polecane filmy

Portal aktywacyjny nadal działa i zwraca informacje o kliencie i sieci Wi-Fi nawet po aktywowaniu routera i usługi domowego łącza szerokopasmowego.

Powiązany

  • System handlu New World został zamknięty po błędzie umożliwiającym graczom kopiowanie złota
  • Comcast dodaje Hulu do Xfinity Flex i X1 w miarę zwiększania się dystansu społecznego
  • Nowa funkcja Comcast ogranicza ilość czasu spędzanego przez dzieci w Internecie

Jeżeli klient korzysta z Router marki Comcast lub Xfinity, portal aktywacyjny w dalszym ciągu zwraca zaktualizowane informacje o sieci, więc jeśli klient zmieni nazwę sieci lub hasło, najnowsze informacje zostaną wyświetlone po aktywacji portal. ZDNet zauważył, że klient nie ma możliwości rezygnacji z tego systemu. W przypadku klientów korzystających z własnego routera w publikacji wykryto, że portal nie ma dostępu do nazwy sieci Wi-Fi i hasła do wyświetlenia.

Na poziomie podstawowym obawa związana z bezpieczeństwem polega na tym, że dane sieciowe i adres domowy klienta nie są chronione poprzez wymaganie informacji, które nie są łatwo dostępne na wyciągu z konta. Co więcej, gdy haker uzyska dane sieciowe, może je wykorzystać w szkodliwy sposób, jeśli znajdzie się w pobliżu sieci Wi-Fi. Identyfikator sieci i hasło mogą zostać wykorzystane do uzyskania dostępu do niezaszyfrowanego ruchu sieciowego przechodzącego przez router. Ponadto hakerzy mogą również tymczasowo zablokować użytkowników, zmieniając nazwę sieci i hasło, gdy uzyskają oni dostęp.

Od tego czasu Comcast wyłączył tę funkcję na swojej stronie internetowej, aby naprawić lukę w zabezpieczeniach. „W ciągu kilku godzin od dowiedzenia się o tym problemie zamknęliśmy go” – powiedział ZDnet rzecznik Comcast. „Prowadzimy dokładne dochodzenie i podejmiemy wszelkie niezbędne kroki, aby upewnić się, że taka sytuacja się nie powtórzy”. W odrębnym oświadczeniu do GizmodoFirma Comcast stwierdziła, że ​​nie uważa, aby w wyniku tego błędu uzyskano nieprawidłowy dostęp do jakichkolwiek danych.

Wiadomość o błędzie pojawia się w momencie, gdy Comcast uruchamia swój własny dodatek sieciowy typu mesh.

Zalecenia redaktorów

  • Ponad 80% odwiedzanych witryn kradnie Twoje dane
  • Xfinity Mobile dodaje 5G do swoich sieci – za darmo
  • Comcast wyjaśnia swoją bezpłatną ofertę Xfinity Flex dla klientów korzystających wyłącznie z Internetu
  • Klienci Xfinity Mobile mogą teraz przynieść do operatora własne urządzenie z Androidem
  • Comcast pozwala osobom niepełnosprawnym fizycznie sterować telewizorem jednym spojrzeniem

Ulepsz swój styl życiaDigital Trends pomaga czytelnikom śledzić szybko rozwijający się świat technologii dzięki najnowszym wiadomościom, zabawnym recenzjom produktów, wnikliwym artykułom redakcyjnym i jedynym w swoim rodzaju zajawkom.