-
身份验证功能旨在使用户无需重置密码即可访问其帐户。
-
康卡斯特已经修补了这些漏洞。
Comcast Xfinity的内部认证系统中发现的两个漏洞暴露了部分家庭地址和2650万用户的部分社会安全号码。
身份验证功能旨在使用户无需重置密码即可访问其帐户。如果用户忘记了他/她的密码,该功能允许用户通过从显示的四个部分地址列表中选择正确的家庭地址来访问Comcast Xfinity系统。
Buzzfeed报道,安全研究员Ryan Stevenson发现了未知缺陷。
第一个漏洞是Comcast通过发现客户的IP地址存储了正确的用户地址。如果攻击者欺骗了客户的IP地址并反复刷新页面,他们将能够获得用户正确的部分地址。
第二个漏洞是在康卡斯特授权经销商的注册页面中发现的。通过利用暴力攻击技术和客户的帐单地址,攻击者可以找到社会安全号码的客户。
康卡斯特已经修补了这些漏洞。
“我们很快就调查了这些问题,并在几个小时内阻止了这两个漏洞,消除了执行这些研究人员描述的行动的能力。我们非常重视客户的安全性,我们没有理由相信这些漏洞曾被用于本报告中所述研究之外的康卡斯特客户“康卡斯特的发言人David McGuire告诉Buzzfeed。
互联网服务提供商声称没有迹象表明已经使用了用于危害用户数据的缺陷。
网友评论