Logo vi.androidermagazine.com
Logo vi.androidermagazine.com
» Tin tức
Tin tức

Lỗ hổng bảo mật Xfinity august 2018: mọi thứ bạn cần biết

Lỗ hổng bảo mật Xfinity august 2018: mọi thứ bạn cần biết

Mục lục:

Anonim

Theo một báo cáo từ BuzzFeed News, hai lỗ hổng bảo mật cá nhân đã để lại các số an sinh xã hội và địa chỉ nhà của tất cả 26, 5 triệu người đăng ký và có thể truy cập được ngay cả tin tặc mới làm quen.

Comcast nói rằng không có lý do gì để tin bất kỳ thông tin nào thực sự bị đánh cắp, nhưng ngay cả như vậy, đây là những gì bạn nên biết về những gì đang diễn ra.

Chuyện gì đã xảy ra?

Lỗ hổng đầu tiên trong hai lỗ hổng cho phép kẻ tấn công có được địa chỉ đầy đủ của khách hàng bằng hệ thống xác thực tại nhà của Comcast.

Khi được kết nối với mạng Xfinity tại nhà của bạn, bạn có thể đăng nhập để thanh toán hóa đơn của mình bằng cách chọn địa chỉ chính xác từ danh sách năm (xem hình trên).

Như BuzzFeed News ghi chú trong bài viết của mình:

Nếu tin tặc lấy được địa chỉ IP của khách hàng và giả mạo Comcast bằng cách sử dụng kỹ thuật "Chuyển tiếp X", họ có thể liên tục làm mới trang đăng nhập này để tiết lộ vị trí của khách hàng. Đó là bởi vì mỗi lần trang được làm mới, ba địa chỉ sẽ thay đổi, trong khi một địa chỉ, địa chỉ chính xác, vẫn giữ nguyên.

Lỗ hổng thứ hai có khả năng thậm chí còn nguy hiểm hơn khi nó lộ ra bốn chữ số cuối của số an sinh xã hội, Trên trang đăng nhập dành cho Đại lý ủy quyền của Comcast (nhân viên của Comcast đang bán dịch vụ tại các nhà bán lẻ khác), trang "Địa chỉ khách hàng Exisitng" hỏi địa chỉ người dùng, bốn chữ số cuối SSN, mã tài khoản và số giấy phép lái xe của họ.

Bốn chữ số số an sinh xã hội cuối cùng được hiển thị trên trang này và chỉ cần có địa chỉ thanh toán của khách hàng, kẻ tấn công có thể sử dụng một cuộc tấn công vũ phu để liên tục nhập các combo bốn số cho đến khi chúng khớp đúng. Mỗi tin tức trên BuzzFeed:

Vì trang đăng nhập không giới hạn số lần thử, tin tặc có thể sử dụng chương trình chạy cho đến khi số An sinh xã hội chính xác được nhập vào biểu mẫu.

Bạn có thể làm gì để bảo vệ chính mình

Hệ thống xác thực tại nhà đã bị vô hiệu hóa sau khi Comcast được thông báo về lỗ hổng và đối với thông tin đăng nhập của Đại lý ủy quyền, Comcast nói rằng nó đặt "giới hạn tỷ lệ nghiêm ngặt trên cổng thông tin" để ngăn chặn việc lạm dụng.

Mặc dù Comcast vẫn đang tiến hành một cuộc điều tra về vấn đề này, công ty cho biết họ không tin bất kỳ thông tin nào được sử dụng sai.

Mặc dù vậy, không bao giờ là một ý tưởng tồi để cập nhật mật khẩu của bạn hoặc bắt đầu sử dụng xác thực hai yếu tố cho tất cả các tài khoản trực tuyến của bạn khi một cái gì đó như thế này bật lên. Trong những tình huống này, bạn không bao giờ có thể quá an toàn.

Trình quản lý mật khẩu tốt nhất cho Android

Tin tức

Lựa chọn của người biên tập