Hekerji bi lahko zaradi varnostne napake pridobili popoln dostop do računov strank spektra

Spectrum / Brett Carlsen / Getty

Ranljivost na spletnem mestu ponudnika internetne in kabelske televizije Spectrum je skoraj vsakomur omogočila prevzem računov strank brez gesla. Za izkoriščanje pomanjkljivosti je bil potreben le naslov IP stranke Spectrum (številka, ki je edinstvena za vsako napravo, povezano z internetom). Fobija in Nicholas Convict Ceraolo odkril.





Potem ko je BuzzFeed News z matično družbo Charter Communications sporočil prej neprijavljene ugotovitve, je dejal tiskovni predstavnik Francois Claude: 'Preiskali smo in hitro izvedli popravek ranljivosti, na katerega smo bili opozorjeni. Še naprej preiskujemo, vendar zaenkrat še nimamo razloga verjeti, da je bila ta ranljivost kdaj uporabljena poleg varnostnih raziskovalcev, ki so o tem poročali BuzzFeedu.

Z dostopom do računa stranke in ponudnika storitev kabelske televizije lahko heker vidi občutljive osebne podatke, kot so naslov za izstavitev računa, e -poštni naslov in številka računa. Te informacije bi lahko uporabili socialni inženir - z drugimi besedami, zavajajte - osebje za podporo strankam, ki bi ga lahko prevarali, da bi obupali več podatkov o tarči ali celo zmotiti stranko e -poštna sporočila z lažnim predstavljanjem ki so videti kot zakoniti, ker vključujejo natančne in podrobne osebne podatke, povezane z njihovim internetnim računom.

The aplikacija myTWC , do katerega račun omogoča dostop, prikazuje tudi naslov MAC (številko, ki identificira vsako napravo v omrežju) katere koli opreme, povezane s storitvijo. To lahko uporabite za lažno predstavljanje drugega računalnika ali usmerjevalnika v omrežju Wi-Fi in izvedite napad tipa človek v sredini zajeti ves spletni promet tega omrežja in pridobiti vse podatke, poslane spletna mesta, ki niso HTTPS , vključno s poverilnicami za prijavo.


Če imate informacije ali nasvete, se lahko obrnete na tega poročevalca prek šifriranega signala storitve klepeta na 415-943-0446. Šifrirano e -poštno sporočilo lahko pošljete tudi na nicole.nguyen@buzzfeed.com s ključem PGP najdemo tukaj .


Charter Communications, drugi največji ponudnik kabelskih storitev v ZDA, omogoča stanovanjski dostop do interneta 23 milijonov strank. Leta 2016 je Charter kupil Time Warner Cable in Bright House Networks ter združil dve internetni družbi pod blagovno znamko Spectrum.

Claude je opozoril, da je varnostna napaka prizadela le podskupino 14 milijonov zapuščenih strank podjetja Time Warner Cable-tistih brez ID-ja TWC (računa, s katerim lahko plačujejo račune in gledajo televizijo na spletu). Tiskovni predstavnik ni natančno razkril, koliko ljudi je v tej skupini, in je navedel le, da je to bistveno manj od števila naročnikov podjetja.

Spectrum od svojih strank ne zahteva registracije za ID TWC, vendar je po besedah ​​tiskovne predstavnice Listine večina njegovih starih kupcev že registrirana.

Stran za registracijo, na kateri lahko naročniki ustvarijo ID TWC, vsebuje bistveno varnostno napako. Če se ciljna stranka ni registrirala za ID TWC, bi lahko heker prelisičil spletno mesto in pridobil popoln dostop do računa ciljne stranke tako, da svoj lastni naslov IP zamenja s strankino uporabo X-forwarded-for tehnika , ki ga lahko izvedejo tudi tehnično nezahtevni hekerji s preprosto razširitvijo brskalnika.



Spekter

Spletno mesto za registracijo je poskušalo preveriti identiteto naročnikov, tako da je zahtevalo njihove poštne številke in telefonske številke. Toda po mnenju raziskovalca varnosti Phobia, poštna številka ni morala biti pravilna za nadaljevanje na naslednjo stran. Za natančnost mora biti samo telefonska številka, povezana z računom. Ceraolo je poleg tega ugotovil, da bi hekerji lahko uporabili datoteko a brutalna sila programskega programa v polju za telefonsko številko (z drugimi besedami, večkrat poskusite z različnimi 10-mestnimi kombinacijami), ker spletno mesto Spectrum ni omejevalo števila poskusov. To pomeni, da bi heker lahko relativno enostavno prevzel račun nekoga tudi brez natančne telefonske številke.

Z lažnim naslovom IP in pravilno telefonsko številko so se hekerji lahko registrirali za nov ID TWC na obstoječi naročnini Time Warner Cable in pridobili popoln dostop do računa stranke.

Če se stranka poskuša registrirati za ID TWC z drugega naslova IP, kot je njegova domača lokacija, Spectrum zahteva drugo obliko identifikacije (na primer številko svojega bančnega računa, vozniško dovoljenje ali zadnje štiri številke številke socialnega zavarovanja imetnika računa), poleg poštne številke in telefonske številke. Vendar to ni zaščitilo pred hekerji, ki so ponarejali IP stranke.

Po mnenju Marca Laliberteja, višjega varnostnega analitika pri WatchGuard Technologies, preverjanje naslova IP olajša prijavo za manj tehnično podkovane uporabnike, vendar žrtvuje varnost zaradi uporabnosti: Čeprav na splošno ne poznam posebnosti tega primera [preverjanje naslova IP ] olajša nekomu, kot je moja mama, dostop do njenega računa na spletu, vendar postane žrtev iste ranljivosti kot eno samo geslo, namesto večfaktorskega preverjanja pristnosti. To geslo - ali naslov IP - je kot imeti ključe kraljestva, je dejal Laliberte.

Naslovi IP so na voljo vsem, ki jih iščejo - slabi igralci jih lahko preprosto uporabijo za ciljanje in nadlegovanje. Spletni skrbniki lahko vidijo naslove IP vsakega obiskovalca spletnega mesta, številni spletni forumi pa v svojih profilih prikazujejo naslove IP uporabnikov. Ko ima nekdo IP naslov ciljne skupine, lahko z orodji za iskanje IP poišče ponudnika internetnih storitev te osebe in njeno lokacijo.

Spectrum ni edino podjetje z ranljivostmi pri preverjanju naslovov IP. Comcast je razkril delni naslov svojih strank zaradi varnostne ranljivosti pri podobni domači avtentikacijski metodi, podjetje pa je pred kratkim onemogočil stran po poročilu BuzzFeed News.

Time Warner je podatke svojih strank že pustil ranljive. Leta 2017 je razvijalec programske opreme Kromtech razkril da so bili na strežnikih brez zaščite z geslom na voljo milijoni zapisov strank Time Warnerja, vključno z uporabniškimi imeni in finančnimi transakcijami. Niti Time Warner niti njegovo novo matično podjetje Spectrum ne ponujata obrazca za predložitev ali plačila raziskovalcem varnosti, ki želijo prijaviti odkrite ranljivosti. Mnoga druga podjetja, kot je npr Google in Microsoft , plačati raziskovalcem nagrado za predložitev varnostnih napak.