Två säkerhetsforskare upptäckte en bugg i Comcasts onlineaktiveringsportal som avslöjade en kunds hemadress tillsammans med Wi-Fi-nätverkets namn och lösenord i klartext. Inom några timmar efter att ha fått reda på felet som avslöjats av Karan Saini och Ryan Stevenson, stängde Comcast ned Xfinity-aktiveringssajten, med hänvisning till kundsäkerhet som sin största oro.
För att kunder ska kunna aktivera sina routrar måste de besöka en Xfinity aktiveringswebbplats för att ange viss användarinformation för att ställa in deras router och service. Saini och Stevenson upptäckte att även om webbplatsen frågar efter en kunds fullständiga adress, behövdes bara ett lägenhets- eller husnummer tillsammans med ett konto-ID. Båda de uppgifter som krävs för att få tillgång till aktiveringsportalen kunde lätt hittas på en kasserad sedel.
Rekommenderade videor
Aktiveringsportalen fortsätter att fungera och returnerar information om kunden och Wi-Fi-nätverket även efter att routern och hembredbandstjänsten har aktiverats.
Relaterad
- New Worlds handelssystem stängs av efter bugg tillåter spelare att duplicera guld
- Comcast lägger till Hulu till Xfinity Flex och X1 när social distansering ökar
- Den nya Comcast-funktionen begränsar den tid barn spenderar på internet
Om en kund använder en Comcast eller Xfinity-märkt router, så fortsätter aktiveringsportalen att returnera uppdaterad nätverksinformation, så om en kund ändrar nätverksnamnet eller lösenordet, den senaste informationen skulle visas vid aktiveringen portal. ZDNet noterade att det inte finns något sätt för en kund att välja bort detta system. För kunder som använder sin egen router upptäckte publikationen att portalen inte har tillgång till Wi-Fi-nätverkets namn och lösenord att visa.
På den primära nivån är säkerhetsproblemet att kundens nätverksdata och hemadress inte skyddas genom att kräva information som inte är lätt tillgänglig via ett kontoutdrag. När en hackare har fått nätverksdata kan de dessutom använda dem på ett skadligt sätt om de är i närheten av Wi-Fi-nätverket. Nätverks-ID och lösenord kan användas för att få tillgång till okrypterad webbtrafik som passerar genom routern. Dessutom kan hackare också tillfälligt låsa användare genom att ändra nätverksnamn och lösenord när de har tillgång.
Comcast har sedan dess inaktiverat denna funktion på sin webbplats för att rätta till säkerhetsbristen. "Inom timmar efter att vi lärt oss det här problemet stängde vi ner det", sa en talesperson för Comcast till ZDnet. "Vi genomför en grundlig utredning och kommer att vidta alla nödvändiga åtgärder för att säkerställa att detta inte händer igen." I ett separat uttalande till Gizmodo, noterade Comcast att de inte tror att någon data var felaktig åtkomlig som ett resultat av denna bugg.
Nyheten om buggen kommer vid en tidpunkt då Comcast lanserar sin egen mesh nätverkstillbehör.
Redaktörens rekommendationer
- Mer än 80 % av webbplatserna du besöker stjäl din data
- Xfinity Mobile lägger till 5G till sina nätverk – gratis
- Comcast förtydligar sitt gratis Xfinity Flex-erbjudande för enbart internetkunder
- Xfinity Mobile-kunder kan nu ta med sin egen Android-enhet till operatören
- Comcast låter personer med fysiska funktionshinder styra en TV med bara en blick
Uppgradera din livsstilDigitala trender hjälper läsare att hålla koll på den snabba teknikvärlden med alla de senaste nyheterna, roliga produktrecensioner, insiktsfulla redaktioner och unika smygtittar.
