Servicio de teléfono de internet/TV/home de Xfinity de Comcast es uno de los más populares en los Estados Unidos y según un informe de Noticias BuzzFeed, dos vulnerabilidades de seguridad dejan la seguridad social direcciones números y hogar de los 26,5 millones suscriptores expuestos y accesibles para los hackers novatos incluso.
Comcast dijo que no hay razón para creer que cualquier información realmente fue robada, pero aun así, aquí está lo que usted debe saber acerca de lo que está sucediendo.
La primera de las dos vulnerabilidades permitió a los atacantes obtener direcciones completo de los clientes mediante sistema de autenticación en el hogar de Comcast.
Cuando se conecta a la red doméstica de Xfinity, podría iniciar sesión para pagar su factura simplemente seleccionando la dirección correcta de una lista de cinco (véase la foto de arriba).
Como Noticias BuzzFeed señala en su artículo:
Si un hacker obtiene dirección IP del cliente y la falsa Comcast usando una técnica de “X-forwarded-for”, podría actualizar repetidamente esta página de inicio de sesión para revelar la ubicación del cliente. Eso es porque cada vez que actualiza la página, cambio tres direcciones, mientras que una dirección, la dirección correcta, sigue siendo la misma.
La segunda vulnerabilidad tiene el potencial para ser condenar aún más expuestos los últimos cuatro dígitos del número de seguro social,
En la sesión en la página para distribuidores autorizados de Comcast (empleados de Comcast que están vendiendo el servicio a otros minoristas), la página de “Dirección de cliente existente” pide dirección de un usuario, últimos cuatro dígitos de su SSN, pin de la cuenta, y número de licencia de conducir.
Los últimos cuatro dígitos del número de seguro social se muestran en esta página, y por sólo tener la dirección de facturación de un cliente, un atacante podría utilizar un ataque de fuerza bruta repetidamente entrar en combos de cuatro dígitos hasta que el partido de derecha. Por Noticias BuzzFeed:
Porque la página de inicio de sesión no limitó el número de intentos, los hackers podrían utilizar un programa que se ejecuta hasta que el número de Seguridad Social correcto es introducido en el formulario.
El sistema de autenticación en el hogar ya que se ha desactivado después de que Comcast fue informado de la vulnerabilidad, y para el registro autorizado, Comcast dice ha puesto “un estricto límite en el portal” para evitar abusos.
Aunque Comcast todavía está llevando a cabo una investigación en la materia, la empresa dice no creer que cualquier información fue utilizada indebidamente.
Aún así, nunca es una mala idea de actualizar tu contraseña o empezar a utilizar la autenticación de dos factores para todas tus cuentas en línea cuando algo como esto aparece. En estas situaciones, nunca puede estar demasiado seguro.