Özel: Comcast'in web sitesindeki bir hata hassas müşteri bilgilerini sızdırıyor.
(Resim: dosya fotoğrafı)
Comcast'in web sitesinde Xfinity yönlendiricilerini etkinleştirmek için kullanılan bir hata, şirketin müşterileri hakkında hassas bilgilerin döndürülmesine neden olabilir.
Güvenlik
- Yüksek güvenlikli uzaktan çalışanların 8 alışkanlığı
- Telefonunuzdaki casus yazılımları bulma ve kaldırma
- En iyi VPN hizmetleri: İlk 5'in karşılaştırması nasıl?
- Bir veri ihlaline karışıp karışmadığınızı nasıl anlarsınız ve bundan sonra ne yapmalısınız?
İnternet sitesiMüşterilerin ev interneti ve kablolu yayın hizmetini ayarlamak için kullandıkları e-posta, yönlendiricinin bulunduğu ev adresinin yanı sıra Wi-Fi adı ve şifresini gösterecek şekilde kandırılabilir.
İki güvenlik araştırmacısı Karan Saini ve Ryan Stevenson hatayı keşfetti.
Daha önce bir keşif yapan Saini Uber iki faktörlü bypass hatası ve bir kusur Hindistan'ın ulusal biyometrik veritabanı, söylenmiş ZDNet hata hakkında.
Web formunda tam adres sorulmasına rağmen yalnızca müşteri hesap kimliği ve müşterinin ev veya apartman numarası gereklidir. Bu bilgiler atılan bir faturadan veya bir e-postadan alınabilir. Her durumda, kararlı bir saldırgan ev veya apartman numarasını kolayca tahmin edebilir.
ZDNet iki Xfinity müşterisinden bilgilerini kontrol etmek için izin aldı. Her iki müşterinin de onayladığı gibi tam adreslerini ve posta kodlarını almayı başardık.
Site, Xfinity yönlendirici kullanan müşterilerden birinin ağa bağlanmak için kullandığı Wi-Fi adını ve şifresini düz metin olarak döndürdü. Diğer müşteri kendi yönlendiricisini kullanıyordu ve site, Wi-Fi ağ adını veya şifresini döndürmedi.
(Ekran görüntüleri: ZDNet)
Hata, Xfinity Wi-Fi zaten açık olsa bile verileri döndürüyor.
Wi-Fi şifresi değişse bile ayrıntıların tekrar çalıştırılması yeni Wi-Fi şifresini döndürecektir. Müşterilerin Xfinity donanımını kullanırken vazgeçmelerinin bir yolu yok gibi görünüyor.
Kullanıcıları geçici olarak kilitleyerek Wi-Fi ağ adlarını ve şifrelerini yeniden adlandırmak da mümkündür.
Saini, hesap numaralarını numaralandırmanın neredeyse imkansız olacağını söyledi.
Hassas verilerin yönlendiricinin ayarlarına erişmek için kullanılabileceğine inanılmasa da, bir saldırgan bu bilgiyi kapsama alanı içindeki Wi-Fi ağına erişmek için kullanabilir. Ağda bir saldırgan, ağdaki diğer kullanıcılardan gelen şifrelenmemiş trafiği okuyabilir.
Comcast, yayınlandıktan sonra seçeneği web sitesinden kaldırdı.
Bir Comcast sözcüsü, "Müşterilerimizin güvenliğinden daha önemli bir şey yok" dedi. "Bu sorunu öğrendikten birkaç saat sonra konuyu kapattık. Kapsamlı bir soruşturma yürütüyoruz ve bunun bir daha yaşanmamasını sağlamak için gerekli tüm adımları atacağız."
Ayrıca bakınız
Bir ipucu var mı?
İpuçlarını Signal ve WhatsApp üzerinden 646-755-8849 numaralı telefondan güvenli bir şekilde gönderebilirsiniz. Ayrıca parmak iziyle PGP e-postası da gönderebilirsiniz: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
Şimdi OkuZDNET İNCELEMELER
- Araştırmacılar, alkol analiz cihazının kusurları olduğunu ve sayısız mahkumiyet konusunda şüphe uyandırdığını söylüyor
- Davalar bilgi güvenliği araştırmalarını tehdit ediyor – tam da en çok ihtiyaç duyduğumuz anda
- Sızdırılan dosyalar NSA'nın Ragtime programının Amerikalıları hedef aldığını gösteriyor
- Sızan TSA belgeleri New York havaalanının güvenlik dalgasını ortaya koyuyor
- ABD hükümeti teknoloji firmalarını kaynak kodunu devretmeye zorladı
- Milyonlarca Verizon müşteri kaydı güvenlik aşımına uğradı
- Verilerinizi NSA'ya teslim eden karanlık teknoloji komisyoncularıyla tanışın
- Milyonları gizlice gölgeleyen küresel terör izleme listesinin içinde
- 198 milyon Amerikalı 'şimdiye kadarki en büyük' seçmen kayıtları sızıntısından etkilendi
- İngiltere 'bir demokraside şimdiye kadar geçirilen en aşırı gözetleme yasasını' kabul etti
- Microsoft, Windows 10 S'de 'bilinen hiçbir fidye yazılımının' çalışmadığını söylüyor; biz de onu hacklemeye çalıştık
- Sızan belge, İngiltere'nin daha geniş internet gözetimi planlarını ortaya koyuyor