Dois pesquisadores de segurança descobriram um bug no portal de ativação online da Comcast que revelava o endereço residencial de um cliente junto com o nome e a senha da rede Wi-Fi em texto simples. Poucas horas depois de saber da falha descoberta por Karan Saini e Ryan Stevenson, a Comcast fechou o site de ativação do Xfinity, citando a segurança do cliente como sua principal preocupação.
Para que os clientes possam ativar seus roteadores, eles precisam visitar um Xfinity site de ativação para inserir algumas informações do usuário para configurar seu roteador e serviço. Saini e Stevenson descobriram que, embora o site solicite o endereço completo do cliente, era necessário apenas o número do apartamento ou da casa junto com o ID da conta. Ambas as informações necessárias para obter acesso ao portal de ativação podem ser facilmente encontradas em uma fatura descartada.
Vídeos recomendados
O portal de ativação continua funcionando e retornando informações sobre o cliente e a rede Wi-Fi mesmo após a ativação do roteador e do serviço de banda larga residencial.
Relacionado
- O sistema de comércio do Novo Mundo foi encerrado após bug permitir que os jogadores duplicem ouro
- Comcast adiciona Hulu ao Xfinity Flex e X1 à medida que o distanciamento social aumenta
- O novo recurso da Comcast limita a quantidade de tempo que as crianças passam na internet
Se um cliente estiver usando um Roteador da marca Comcast ou Xfinity, o portal de ativação continuará retornando informações atualizadas da rede, portanto, se um cliente altera o nome da rede ou a senha, as informações mais recentes serão exibidas no sistema de ativação portal. ZDNet observou que não há como um cliente cancelar este sistema. Para clientes que utilizam roteador próprio, a publicação descobriu que o portal não tem acesso ao nome e senha da rede Wi-Fi para exibição.
No nível primário, a preocupação de segurança é que os dados de rede e o endereço residencial do cliente não sejam protegidos, exigindo informações que não estão prontamente disponíveis por meio de um extrato de conta. Além disso, uma vez que um hacker obtenha os dados da rede, ele poderá usá-los de maneira maliciosa se estiver próximo da rede Wi-Fi. O ID e a senha da rede podem ser usados para obter acesso ao tráfego da Web não criptografado que passa pelo roteador. Além disso, os hackers também podem bloquear temporariamente os usuários, alterando o nome e a senha da rede assim que tiverem acesso.
Desde então, a Comcast desativou esse recurso em seu site para corrigir a falha de segurança. “Poucas horas depois de sabermos desse problema, nós o encerramos”, disse um porta-voz da Comcast ao ZDnet. “Estamos conduzindo uma investigação completa e tomaremos todas as medidas necessárias para garantir que isso não aconteça novamente.” Em uma declaração separada para Gizmodo, A Comcast observou que não acredita que nenhum dado tenha sido acessado indevidamente como resultado desse bug.
A notícia do bug chega no momento em que a Comcast está lançando o seu próprio acessório de rede mesh.
Recomendações dos Editores
- Mais de 80% dos sites que você visita estão roubando seus dados
- Xfinity Mobile adiciona 5G às suas redes – de graça
- Comcast esclarece sua oferta gratuita Xfinity Flex para clientes somente com Internet
- Os clientes do Xfinity Mobile agora podem trazer seus próprios dispositivos Android para a operadora
- Comcast permite que pessoas com deficiência física controlem uma TV com apenas um olhar
Atualize seu estilo de vidaDigital Trends ajuda os leitores a manter o controle sobre o mundo acelerado da tecnologia com as últimas notícias, análises divertidas de produtos, editoriais criteriosos e prévias únicas.
