Logo iw.androidermagazine.com
Logo iw.androidermagazine.com
» חדשות
חדשות

פגיעות אבטחה של Xfinity אוגוסט 2018: כל מה שאתה צריך לדעת

פגיעות אבטחה של Xfinity אוגוסט 2018: כל מה שאתה צריך לדעת

תוכן עניינים:

Anonim

שירות האינטרנט / הטלוויזיה הביתי של קומקסט Xfinity / טלפון / ביתי הוא אחד הפופולריים ביותר בארצות הברית, ועל פי דיווח של BuzzFeed News, שתי פגיעות אבטחה אינדיבידואליות הותירו את מספרי הביטוח הלאומי ואת כתובות הבית של כל 26.5 מיליון המנויים שנחשפו ונגישים אפילו האקרים מתחילים.

Comcast אומר כי אין סיבה להאמין שמידע כלשהו נגנב בפועל, אך למרות זאת, הנה מה שכדאי לדעת על המתרחש.

מה קרה?

הראשונה מבין שתי הפגיעויות אפשרה לתוקפים להשיג את הכתובות המלאות של הלקוחות באמצעות מערכת האימות הביתית של קומקסט.

כשאתה מחובר לרשת Xfinity הביתית שלך, אתה יכול להתחבר כדי לשלם את החשבון שלך על ידי בחירת הכתובת הנכונה מתוך רשימה של חמישה (ראה תמונה למעלה).

כפי שמציין BuzzFeed News במאמרו:

אם האקר השיג את כתובת ה- IP של לקוח וזייף את ה- Comcast באמצעות טכניקת "X-forward-for", הם יוכלו לרענן שוב ושוב את דף ההתחברות כדי לחשוף את מיקום הלקוח. הסיבה לכך היא שבכל פעם שהדף רענן, שלוש כתובות היו משתנות, בעוד שכתובת אחת, הכתובת הנכונה, נותרה זהה.

לפגיעות השנייה יש פוטנציאל להיות עוד יותר מאיים שכן היא חשפה את ארבע הספרות האחרונות של מספרי ביטוח לאומי, בדף הכניסה לסוחרים מורשים של Comcast (עובדי Comcast שמוכרים את השירות בקמעונאים אחרים), עמוד "Exisitng Address Customer" מבקש את כתובת המשתמש, ארבע הספרות האחרונות של ה- SSN, קוד החשבון ומספר הרישיון של הנהגים..

ארבע הספרות האחרונות של מספר תעודת זהות מוצגות בדף זה, ועל ידי כך שתהיה לו כתובת החיוב של לקוח, התוקף יכול להשתמש במתקפה של כוח ברוט כדי להזין שוב ושוב קומבואים של ארבעה מספרים עד לקבלת התאמה נכונה. חדשות BuzzFeed:

מכיוון שדף הכניסה לא הגביל את מספר הניסיונות, האקרים יכולים להשתמש בתוכנית הפועלת עד להכנסת מספר הביטוח הלאומי הנכון לטופס.

מה אתה יכול לעשות כדי להגן על עצמך

מערכת האימות הביתית הושבתה לאחר שהתוודע ל- Comcast על הפגיעות, ולגבי התחברות הסוחר המורשה, Comcast אומרת שהיא הציבה "מגבלת תעריפים נוקשה בפורטל" כדי למנוע שימוש לרעה בה.

למרות שקומקסט עדיין מנהלת חקירה בנושא, החברה טוענת כי היא לא מאמינה כי נעשה שימוש לא נכון במידע כלשהו.

אף על פי כן, זה אף פעם לא רעיון רע לעדכן את הסיסמה שלך או להתחיל להשתמש באימות דו-גורמי עבור כל החשבונות המקוונים שלך כשדבר כזה צץ. במצבים אלה, לעולם אינכם יכולים להיות בטוחים מדי.

מנהלי הסיסמאות הטובים ביותר עבור אנדרואיד

חדשות

בחירת העורכים