Двоє дослідників безпеки виявили помилку на онлайн-порталі активації Comcast, яка відкривала домашню адресу клієнта разом з назвою мережі Wi-Fi і паролем у вигляді звичайного тексту. Через кілька годин після того, як дізналися про недолік, виявлений Караном Сайні та Раяном Стівенсоном, Comcast закрив сайт активації Xfinity, посилаючись на безпеку клієнтів як на головну проблему.
Щоб клієнти могли активувати свої маршрутизатори, вони повинні відвідати Xfinity веб-сайт активації, щоб ввести певну інформацію користувача, щоб налаштувати їх маршрутизатор і обслуговування. Сайні та Стівенсон виявили, що хоча на веб-сайті запитується повна адреса клієнта, разом із ідентифікатором облікового запису потрібен лише номер квартири чи будинку. Обидві відомості, необхідні для отримання доступу до порталу активації, можна легко знайти на викинутій купюрі.
Рекомендовані відео
Портал активації продовжує працювати та повертати інформацію про клієнта та мережу Wi-Fi навіть після активації роутера та домашнього широкосмугового доступу.
Пов'язані
- Торгова система Нового Світу припинила роботу через помилку, що дозволяє гравцям дублювати золото
- Comcast додає Hulu до Xfinity Flex і X1, оскільки соціальне дистанціювання зростає
- Нова функція Comcast обмежує кількість часу, який діти проводять в Інтернеті
Якщо клієнт використовує a Маршрутизатор Comcast або Xfinity, тоді портал активації продовжує повертати оновлену інформацію про мережу, тому, якщо клієнт змінює мережеве ім’я або пароль, щоб остання інформація відображалася під час активації портал. ZDNet зазначив, що клієнт не може відмовитися від цієї системи. Для клієнтів, які використовують власний маршрутизатор, видання виявило, що портал не має доступу до назви мережі Wi-Fi і пароля для відображення.
На первинному рівні проблема безпеки полягає в тому, що мережеві дані та домашня адреса клієнта не захищені, вимагаючи інформації, яка не є легкодоступною у виписці з облікового запису. Крім того, коли хакер отримує мережеві дані, він може використати їх у зловмисний спосіб, якщо перебуває в безпосередній близькості від мережі Wi-Fi. Ідентифікатор мережі та пароль можна використовувати для отримання доступу до незашифрованого веб-трафіку, який проходить через маршрутизатор. Крім того, хакери також можуть тимчасово заблокувати користувачів, змінивши назву мережі та пароль, коли вони отримають доступ.
Відтоді Comcast вимкнув цю функцію на своєму веб-сайті, щоб виправити недолік безпеки. «Через кілька годин після того, як дізналися про цю проблему, ми закрили його», — сказав ZDnet представник Comcast. «Ми проводимо ретельне розслідування і вживемо всіх необхідних заходів, щоб гарантувати, що це більше не повториться». В окремій заяві до Gizmodo, Comcast зазначив, що не вважає, що через цю помилку було отримано неналежний доступ до будь-яких даних.
Новина про помилку з’явилася в той час, коли Comcast запускає власний сітчастий мережевий аксесуар.
Рекомендації редакції
- Понад 80% веб-сайтів, які ви відвідуєте, викрадають ваші дані
- Xfinity Mobile додає 5G до своїх мереж — безкоштовно
- Comcast пояснює свою безкоштовну пропозицію Xfinity Flex для клієнтів, які мають доступ лише до Інтернету
- Клієнти Xfinity Mobile тепер можуть принести свій власний пристрій Android оператору
- Comcast дозволяє людям з обмеженими фізичними можливостями керувати телевізором одним поглядом
Оновіть свій спосіб життяDigital Trends допомагає читачам стежити за динамічним світом технологій завдяки всім останнім новинам, цікавим оглядам продуктів, проникливим редакційним статтям і унікальним у своєму роді коротким оглядам.
