目次:
ComcastのXfinityインターネット/ TV /自宅電話サービスは、米国で最も人気のあるサービスの1つであり、 BuzzFeed Newsの レポートによると、2つの個別のセキュリティ脆弱性により、2650万人の加入者すべての社会保障番号と自宅の住所が公開され、初心者のハッカーですら。
Comcastは、情報が実際に盗まれたと信じる理由はないと言いますが、それでも、何が起こっているのかを知っておく必要があります。
何が起こった?
2つの脆弱性の最初の脆弱性により、攻撃者はComcastのホーム認証システムを使用して顧客の完全なアドレスを取得できました。
自宅のXfinityネットワークに接続したら、5つのリストから正しい住所を選択するだけでログインできます(上の図を参照)。
BuzzFeed News がその記事で述べているように:
ハッカーが「X-forwarded-for」技術を使用して顧客のIPアドレスを取得し、Comcastを偽装した場合、このログインページを繰り返し更新して顧客の場所を明らかにすることができます。 これは、ページが更新されるたびに3つのアドレスが変更され、一方、正しいアドレスである1つのアドレスは変わらないためです。
2番目の脆弱性は、社会保障番号の最後の4桁を公開しているため、さらに酷い可能性があります。
Comcast認定ディーラー(他の小売店でサービスを販売しているComcast従業員)のログインページで、[既存の顧客アドレス]ページはユーザーの住所、SSNの最後の4桁、アカウントピン、運転免許証番号を要求します。
最後の4桁の社会保障番号がこのページに表示されます。顧客の請求先住所を取得するだけで、攻撃者はブルートフォース攻撃を使用して、正しい番号が見つかるまで4桁のコンボを繰り返し入力できます。 BuzzFeedニュース ごと:
ログインページが試行回数を制限しなかったため、ハッカーは正しい社会保障番号がフォームに入力されるまで実行されるプログラムを使用できました。
自分を守るためにできること
Comcastに脆弱性が通知された後、家庭内認証システムは無効になりました。認定ディーラーログインの場合、Comcastは「ポータルの厳格なレート制限」を設けて悪用されないようにしました。
Comcastはこの問題の調査を行っていますが、会社は情報が不正に使用されたとは考えていないと述べています。
それでも、このようなポップアップが表示されたら、すべてのオンラインアカウントに対してパスワードを更新したり、2要素認証を使用したりすることは決して悪い考えではありません。 これらの状況では、安全すぎることはありません。
Android向けのベストパスワードマネージャー