AgrandarComcast
Un agujero de seguridad en un sitio web de activación del servicio Comcast permitido cualquiera para obtener el nombre y la contraseña de la red Wi-Fi de un cliente ingresando el número de cuenta del cliente y una calle parcial dirección, ZDNet informó ayer.
El problema habría permitido a los atacantes “cambiar el nombre de los nombres de las redes Wi-Fi y contraseñas, bloqueando temporalmente a los usuarios “fuera de su hogar redes, escribió ZDNet. Obviamente, un atacante también podría usar un Nombre de red Wi-Fi y contraseña para iniciar sesión en un Comcast desprevenido red doméstica del cliente.
Poco después de que se publicara la historia de ZDNet, Comcast deshabilitó el característica del sitio web que estaba filtrando contraseñas de Wi-Fi. “A las pocas horas de al enterarnos de este problema, lo cerramos “, dijo Comcast a ZDNet y Ars. “Estamos llevando a cabo una investigación exhaustiva y tomaremos todo pasos necesarios para garantizar que esto no vuelva a suceder “.
“No hay nada más importante que la seguridad de nuestros clientes” Comcast también dijo.
El problema afectó a los clientes de Comcast que usan un enrutador suministrado por Comcast. Clientes que compran su propio enrutador en lugar de alquilar uno de Comcast no se vio afectado, escribió ZDNet. Cargos de Comcast clientes $ 11 al mes (más impuestos y tarifas) para la marca Xfinity puertas de enlace, que actúan como módem y enrutador.
El problema fue descubierto por los investigadores de seguridad Karan Saini y Ryan Stevenson, quien compartió sus hallazgos con ZDNet.
Poca seguridad
Los clientes de Comcast utilizan la página web ofensiva de Comcast para configurar su servicio de cable. Pero el error del sitio web permitió que cualquiera recuperara el nombre y la contraseña de la red Wi-Fi de un cliente específico, incluso si eso El cliente ya había configurado su servicio. El sitio web también mostrar la dirección de la casa donde estaba ubicado el enrutador, aunque un atacante no necesitaba saber toda la calle del cliente habla a.
ZDNet informó:
Solo una identificación de cuenta de cliente y la casa de ese cliente o se necesita el número de apartamento, aunque el formulario web solicite un habla a. Esa información podría ser tomada de una factura descartada o obtenido de un correo electrónico. En cualquier caso, un atacante determinado podría simplemente adivine el número de casa o departamento.
ZDNet obtuvo permiso de dos clientes de Xfinity para verificar su información Pudimos obtener su dirección completa y código postal, que ambos clientes confirmaron.
El sitio devolvió el nombre y la contraseña de Wi-Fi, en texto sin formato, utilizados para conectarse a la red para uno de los clientes que utiliza un Enrutador Xfinity. El otro cliente estaba usando su propio enrutador, y el el sitio no devolvió el nombre o la contraseña de la red Wi-Fi.
Para evitar una recurrencia, Comcast le dijo a Ars que “eliminó el capacidad de iniciar sesión en el sitio de activación del equipo … utilizando un número de cuenta y dirección “.
Comcast también le dijo a Ars que el problema de seguridad nunca permitió acceso a “nombres de usuario y contraseñas personales de los clientes, y tenemos no hay razón para creer que alguna información de la cuenta fue accedido “.
No es raro que los proveedores de Internet en el hogar hagan Wi-Fi contraseñas de red disponibles en texto plano a través de Internet. ISP haga esto para ayudar a los clientes a recuperar una contraseña de red perdida o cambiar su contraseña de Wi-Fi. Pero la práctica viene con un riesgo de seguridad significativo si el ISP no protege las contraseñas de terceros, como Comcast no pudo hacer en este caso.
Dado que el problema parece estar relacionado únicamente con Comcast sitio web y no a un enrutador Comcast específico, puede haber afectado cualquier cliente de Comcast que use uno de los enrutadores de las compañías.
Le preguntamos a Comcast si el problema afectaba a todos los enrutadores Comcast y cuánto tiempo existió el problema. También solicitamos detalles sobre cómo Comcast asegura las contraseñas de Wi-Fi del cliente. Actualizaremos este artículo Si tenemos alguna respuesta.
ACTUALIZACIÓN: Comcast nos dijo que almacena contraseñas con cifrado AES y ese tráfico de Internet que contiene las contraseñas están protegidas con SSL. Pero suena como si el las contraseñas no se cifraron. se supone que debe estar disponible para las personas que se autentican correctamente en el Sistema Comcast, nos dijo Comcast. Actualizaremos este artículo nuevamente si Obtenemos más información.