康卡斯特(Comcast Corporation,CMCSA),是全美第二大互联网服务供应商,仅次于AT&T。该公司总部位于宾夕法尼亚州的费城,主要提供有线电视、宽带网络及IP电话服务,目前拥有超过数千万的用户。
据外媒ZDNet称,一位不愿透露姓名的安全研究员向他们透露,康卡斯特旗下网站Xfinity存在一个不安全的API,可能会将用户的账户信息泄露给其他任何与该用户共享同一个网络的人或应用程序。
该安全研究员解释说,这个API是Xfinity网站的一部分,用于帮助用户通过在线商店订购服务以及查询自己的账户信息。从本质上讲,这个API只有在识别到Xfinity用户的IP地址时才会返回数据,也就是说,想要访问某个用户的账户信息必须从该用户的本地网络发出请求。
然而,这位安全研究员表示,这个API能够被欺骗,从而返回用户的数据。可能遭到泄露的数据包括:用户的帐号、家庭住址、账户类型、在线启用的服务,甚至是家庭安全设置是否处于活动状态。
该安全研究员还补充强调说,想要获取某个用户的数据并不需要得到该用户的许可,任何连接到该用户Wi-Fi网络的人通过Xfinity网站或应用程序查询账户信息时,Xfinity网站都会返回相同的用户账户信息。
移动安全专家Strafach和安全分析师Corben Leo都对这一说法进行了证实,经过他们的测试,这位安全研究人员透露的安全问题的确真实存在。
在ZDNet与康卡斯特取得联系之后,该公司已于上周五对这个API进行了关闭处理。
“没有什么比我们客户的隐私和安全更重要的了。” 康卡斯特的一位发言人说。“当我们意识到这种情况时,我们的工程师就关闭了这个功能。另外,只有在客户家中或登录客户的Wi-Fi网络时才能访问它。”
该发言人还指出,目前没有直接证据表明任何用户的账户信息遭到了非法盗窃或者使用。
ZDNet指出,这并非Xfinity首次曝出安全问题。就在上个月,报道指出,任何拥有Xfinity用户的账号、住房或公寓号的人都可以获得用户的完整地址、Wi-Fi名称和密码,这允许攻击者利用这些信息访问其范围内的Wi-Fi网络。