天创培训:您身边的信息安全培训专家!
行业动态
全美第二大互联网服务供应商Comcast意外暴露2650万用户个人信息

全美第二大互联网服务供应商Comcast意外暴露2650万用户个人信息

据发现安全漏洞的安全研究员瑞恩•史蒂文森(Ryan Stevenson)称,Comcast Xfinity无意中暴露了超过2650万名用户的家庭住址和社会安全号码。隶属于这家全美第二大互联网服务提供商的在线客户门户网站上被发现存在两个此前未被报告的漏洞,这使得即使是不具备太多专业技能的黑客也可以很容易地访问这些敏感信息。

在BuzzFeed News向Comcast报告了这项调查结果之后,该公司对漏洞进行了修复。发言人David McGuire告诉BuzzFeed News:“我们迅速对这些问题进行了调查,在几个小时内我们修复了这两个漏洞,消除了研究人员所描述的潜在威胁。我们非常重视用户的安全,目前没有证据表明漏洞曾被用来攻击Comcast的客户。”

虽然,Comcast目前表示尚未发现任何滥用漏洞的行为,但相关的审查仍在进行中。

根据史蒂文森的说法,其中一个漏洞可以通过访问“内部身份验证”页面进行利用。通过这个页面,用户无需使用用户名和密码登录即可支付账单。Comcast Xfinity门户网站以提问的方式来验证用户身份,它列出了四个家庭住址选项,用户需要从中选出正确的选项。

不过,史蒂文森调查结果显示,如果黑客获取了用户的IP地址,并使用一种名为“X-forwarded-for”的技术来欺骗网站,他们就可以反复刷新这个登录页面,以找出用户家庭住址的正确选项。原理其实很简单,在刷新页面时,错误的家庭住址会随机改变,而正确的家庭住址是保持不变的(即使其对应的选项从A变成B或C,或D)。

在了解到这个漏洞之后,Comcast禁用了这种验证方式。现在,用户需要通过手动输入个人信息来完成身份验证。

利用史蒂文森发现的第二个漏洞,可以通过Comcast Xfinity门户网站的注册页面获取用户社会安全号码的后四位数字。只需一名用户的账单地址,黑客就可以暴力破解(简单来说,反复尝试随机的四位数组合,直到猜测出正确的组合)用户的社会安全号码的后四位数字。由于注册页面没有限制尝试次数,黑客完全可以自动化的程序,直猜测出正确的数字组合为止。

在美国,社会安全号码近年来已经成为了实际上的国民辨识号码,对于该国公民来说极其重要。因为,许多公司(包括信用卡公司和互联网服务提供商)都选择使用社会安全号码的后四位数来通过电话或在线验证用户的身份。黑客完全可以利用窃取的社会安全号码的后四位数来欺骗这些公司的客服,以获取用户在线帐户的访问权限,从而获取到有关用户更多的个人信息。

第二代区块链架构Tendermint的安全负责人Jessy Irwin表示:“当攻击者获取到了家庭住址信息,并将其与社会安全号码后四位数结合起来,这将是一场灾难的开始。”根据Irwin的说法,社会安全号码的最后四位数字可以让攻击者进入几乎所有类型的账户。