Usługa internetowa / telewizyjna / telefoniczna firmy Comcast Xfinity jest jedną z najpopularniejszych w Stanach Zjednoczonych i według raportu opublikowanego przez BuzzFeed Newsdwie indywidualne luki w zabezpieczeniach spowodowały, że numery ubezpieczenia społecznego i adresy domowe wszystkich 26,5 miliona subskrybentów zostały ujawnione i dostępne nawet dla początkujących hakerów.
Comcast mówi, że nie ma powodu, by sądzić, że jakiekolwiek informacje zostały faktycznie skradzione, ale mimo to oto, co powinieneś wiedzieć o tym, co się dzieje.
Pierwsza z dwóch luk umożliwiła atakującym uzyskanie pełnych adresów klientów przy użyciu wewnętrznego systemu uwierzytelniania firmy Comcast.
Po podłączeniu do domowej sieci Xfinity, możesz zalogować się, aby zapłacić rachunek, po prostu wybierając właściwy adres z listy pięciu (patrz obrazek powyżej).
Verizon oferuje Pixel 4a za jedyne 10 USD miesięcznie na nowych liniach Unlimited
Tak jak BuzzFeed News zauważa w swoim artykule:
Jeśli haker uzyskał adres IP klienta i sfałszował Comcast przy użyciu techniki „X-forwarded-for”, mógłby wielokrotnie odświeżać tę stronę logowania, aby ujawnić lokalizację klienta. Dzieje się tak, ponieważ za każdym razem, gdy strona była odświeżana, zmieniały się trzy adresy, a jeden adres, czyli prawidłowy, pozostawał taki sam.
Druga luka może być jeszcze bardziej obciążająca, ponieważ ujawniła cztery ostatnie cyfry numeru ubezpieczenia społecznego,
Na stronie logowania dla autoryzowanych sprzedawców Comcast (pracowników Comcast, którzy sprzedają usługę u innych sprzedawców), Strona „Exisitng Customer Address” wymaga podania adresu użytkownika, ostatnich czterech cyfr numeru PESEL, kodu PIN do konta i prawa jazdy numer.
Ostatnie cztery cyfry numeru ubezpieczenia społecznego są wyświetlane na tej stronie, po prostu mając adres rozliczeniowy klienta, napastnik może użyć ataku brutalnej siły, aby wielokrotnie wprowadzać czterocyfrowe kombinacje, dopóki nie uzyska właściwego wyniku mecz. Za BuzzFeed News:
Ponieważ strona logowania nie ogranicza liczby prób, hakerzy mogą używać programu, który działa do momentu wprowadzenia prawidłowego numeru ubezpieczenia społecznego do formularza.
System uwierzytelniania w domu został od tego czasu wyłączony po tym, jak Comcast został poinformowany o luce w zabezpieczeniach, a dla Zaloguj się do autoryzowanego dealera, Comcast twierdzi, że na portalu został umieszczony „ścisły limit stawki”, aby zapobiec jego nadużyciom.
Chociaż Comcast nadal prowadzi dochodzenie w tej sprawie, firma twierdzi, że nie uważa, aby jakiekolwiek informacje zostały niewłaściwie wykorzystane.
Mimo to nigdy nie jest złym pomysłem aktualizowanie hasła lub zacznij korzystać z uwierzytelniania dwuskładnikowego dla wszystkich kont internetowych, gdy pojawi się coś takiego. W takich sytuacjach nigdy nie możesz być zbyt bezpieczny.
Najlepsi menedżerowie haseł dla Androida
To najlepsze bezprzewodowe słuchawki douszne, które możesz kupić za każdą cenę!
Najlepsze bezprzewodowe słuchawki douszne są wygodne, świetnie brzmią, nie kosztują zbyt wiele i łatwo mieszczą się w kieszeni.
Wszystko, co musisz wiedzieć o PS5: data premiery, cena i nie tylko.
Sony oficjalnie potwierdziło, że pracuje nad PlayStation 5. Oto wszystko, co o nim wiemy.
Nokia wprowadza na rynek dwa nowe budżetowe telefony z Androidem One poniżej 200 USD.
Nokia 2.4 i Nokia 3.4 to najnowsze dodatki do budżetowej linii smartfonów HMD Global. Ponieważ oba są urządzeniami z Androidem One, mają gwarancję otrzymania dwóch głównych aktualizacji systemu operacyjnego i regularnych aktualizacji zabezpieczeń przez okres do trzech lat.
Zabezpiecz swój dom dzwonkami i zamkami SmartThings.
Jedną z najlepszych rzeczy w SmartThings jest to, że możesz używać wielu innych urządzeń innych firm w swoim systemie, w tym dzwonków do drzwi i zamków. Ponieważ wszystkie mają tę samą obsługę SmartThings, skupiliśmy się na tym, które urządzenia mają najlepsze specyfikacje i sztuczki, aby uzasadnić dodanie ich do arsenału SmartThings.