目录:
康卡斯特的Xfinity互联网/电视/家庭电话服务是美国最受欢迎的服务之一,根据 BuzzFeed News的报道 ,两个个人安全漏洞使所有2650万订户的社会安全号码和家庭地址暴露无法访问甚至是新手黑客。
康卡斯特表示,没有理由相信任何信息实际上是被盗的,但即便如此,这也是你应该知道的事情。
发生了什么?
这两个漏洞中的第一个允许攻击者使用Comcast的家庭内部身份验证系统获取客户的完整地址。
当连接到您的家庭Xfinity网络时,您只需从五个列表中选择正确的地址即可登录以支付账单(参见上图)。
正如 BuzzFeed News 在其文章中所述:
如果黑客获得客户的IP地址并使用“X-forwarded-for”技术欺骗Comcast,他们可以反复刷新此登录页面以显示客户的位置。 那是因为每次刷新页面时,三个地址都会改变,而一个地址(正确的地址)保持不变。
第二个漏洞可能会更加严重,因为它暴露了社会安全号码的最后四位数字,
在Comcast授权经销商(在其他零售商处销售该服务的Comcast员工)的登录页面上,“Exisitng Customer Address”页面询问用户的地址,其SSN的最后四位数,帐号密码和驾驶执照号。
最后四个社会安全号码数字显示在此页面上,并且通过仅拥有客户的帐单地址,攻击者可以使用暴力攻击重复输入四个数字组合,直到他们得到正确的匹配。 每 BuzzFeed新闻 :
由于登录页面没有限制尝试次数,黑客可以使用运行的程序,直到将正确的社会安全号码输入到表单中。
你可以做些什么来保护自己
在康卡斯特被告知漏洞后,家庭内部认证系统已经被禁用,并且对于授权经销商登录,康卡斯特表示,它已经“严格限制门户网站”,以防止滥用。
虽然康卡斯特仍在对此事进行调查,但该公司表示不相信任何信息被错误使用。
即便如此,当出现类似的内容时,更新密码或开始对所有在线帐户使用双因素身份验证绝不是一个坏主意。 在这些情况下,你永远不会太安全。
适用于Android的最佳密码管理器
