| 8 августа 2018 г. — 17:36 PT
Клиенты Comcast Xfinity стали последними, кто пострадал от слабой онлайн-безопасности. Согласно отчету BuzzFeed News, более 26,5 миллионов клиентов имели раскрытые частичные домашние адреса и номера социального страхования…
Исследователь безопасности Райан Стивенсон первым обнаружил уязвимости безопасности. Эти уязвимости находились в онлайн-портале для клиентов Comcast, и благодаря им «даже неопытному хакеру было легко получить доступ к этой конфиденциальной информации».
BuzzFeed News проинформировал Comcast об уязвимостях, и интернет-провайдер быстро смог их устранить. В заявлении, касающемся утечки данных, представитель Comcast пояснил, что компания заблокировала уязвимости в течение «часов», подтвердив при этом приверженность компании обеспечению безопасности:
Представитель Дэвид Макгуайр сообщил BuzzFeed News: «Мы быстро расследовали эти проблемы и в течение нескольких часов заблокировали обе уязвимости, устранив возможность совершения действий, описанных исследователями. Мы очень серьезно относимся к безопасности наших клиентов, и у нас нет оснований полагать, что эти уязвимости когда-либо использовались против клиентов Comcast за пределами исследования, описанного в этом отчете».
Одна из уязвимостей была связана с «страницей аутентификации в домашней сети», где пользователь мог оплачивать счета без входа в систему. Портал позволял клиентам проверять информацию о своих учетных записях на основе частичных домашних адресов, предлагаемых сайтом Comcast, если устройство было подключено или казалось подключенным к домашней сети:
В конечном итоге на странице отображался первый знак почтового индекса и первые три буквы правильного названия улицы, а остальные символы скрывались звездочками. Затем хакер мог использовать веб-сайты для определения города, штата и почтового индекса частичного адреса.
Вторая уязвимость была обнаружена через страницу регистрации авторизованных дилеров Comcast. Используя платежный адрес клиента, хакер мог «брутфорсом подобрать последние четыре цифры номера социального страхования клиента». В конечном итоге, поскольку страница не ограничивала количество попыток, хакеры могли раскрыть номер социального страхования:
Имея только платежный адрес клиента, хакер мог брутфорсом (то есть, многократно пытаясь ввести случайные четырехзначные комбинации, пока не будет угадана правильная) подобрать последние четыре цифры номера социального страхования клиента. Поскольку страница входа не ограничивала количество попыток, хакеры могли использовать программу, которая работает до тех пор, пока в форму не будет введен правильный номер социального страхования.
Comcast заявляет, что все еще расследует уязвимости, но пока не обнаружила никаких нарушений.
Подпишитесь на 9to5Mac на YouTube для получения дополнительных новостей об Apple: