Два исследователя безопасности обнаружили ошибку на портале онлайн-активации Comcast, из-за которой домашний адрес клиента вместе с именем и паролем сети Wi-Fi отображался в виде обычного текста. Через несколько часов после того, как стало известно об уязвимости, обнаруженной Караном Сайни и Райаном Стивенсоном, Comcast закрыла сайт активации Xfinity, сославшись на безопасность клиентов как на главную заботу.
Чтобы клиенты могли активировать свои маршрутизаторы, им необходимо посетить Xfinity веб-сайт активации, чтобы ввести некоторую информацию о пользователе, чтобы настроить его маршрутизатор и обслуживание. Сайни и Стивенсон обнаружили, что, хотя веб-сайт запрашивает полный адрес клиента, нужен только номер квартиры или дома вместе с идентификатором учетной записи. Обе части информации, необходимые для получения доступа к порталу активации, можно легко найти на выброшенной купюре.
Рекомендуемые видео
Портал активации продолжает работать и возвращать информацию о клиенте и сети Wi-Fi даже после активации маршрутизатора и услуги домашнего широкополосного доступа.
Связанный
- Торговая система Нового Света закрылась после того, как ошибка позволила игрокам дублировать золото
- Comcast добавляет Hulu к Xfinity Flex и X1 по мере усиления социального дистанцирования
- Новая функция Comcast ограничивает время, которое дети проводят в Интернете
Если клиент использует Маршрутизатор Comcast или Xfinity, то портал активации продолжает возвращать обновленную информацию о сети, поэтому, если клиент меняет имя сети или пароль, при активации будет отображаться последняя информация портал. ЗДНет отметил, что у клиента нет возможности отказаться от этой системы. Для клиентов, использующих собственный маршрутизатор, издание обнаружило, что у портала нет доступа к имени сети Wi-Fi и паролю для отображения.
На первичном уровне проблема безопасности заключается в том, что сетевые данные и домашний адрес клиента не защищены требованием информации, которую невозможно получить через выписку по счету. Кроме того, как только хакер получит сетевые данные, он может использовать их во злонамеренных целях, если находится в непосредственной близости от сети Wi-Fi. Сетевой идентификатор и пароль можно использовать для получения доступа к незашифрованному веб-трафику, проходящему через маршрутизатор. Кроме того, хакеры также могут временно заблокировать пользователей, изменив имя сети и пароль, как только они получат доступ.
С тех пор Comcast отключил эту функцию на своем веб-сайте, чтобы исправить проблему безопасности. «Через несколько часов после того, как мы узнали об этой проблеме, мы закрыли ее», — сообщил ZDnet представитель Comcast. «Мы проводим тщательное расследование и предпримем все необходимые меры, чтобы это больше не повторилось». В отдельном заявлении для Гизмодо, Comcast отметила, что не считает, что в результате этой ошибки был получен неправильный доступ к каким-либо данным.
Новости об ошибке появились в то время, когда Comcast запускает свою собственную сетчатый сетевой аксессуар.
Рекомендации редакции
- Более 80% веб-сайтов, которые вы посещаете, крадут ваши данные
- Xfinity Mobile добавляет 5G в свои сети — бесплатно
- Comcast поясняет свое бесплатное предложение Xfinity Flex для клиентов, пользующихся только Интернетом
- Клиенты Xfinity Mobile теперь могут принести свое Android-устройство оператору связи
- Comcast позволяет людям с ограниченными физическими возможностями управлять телевизором одним взглядом
Обновите свой образ жизниDigital Trends помогает читателям быть в курсе быстро меняющегося мира технологий благодаря всем последним новостям, забавным обзорам продуктов, содержательным редакционным статьям и уникальным кратким обзорам.
