Comcast Xfinity kan have lækket 26,5 millioner personnumre

Illustration: Solar22 / BigStock
Internetudbyderen har givet let adgang til 26,5 millioner personnumre og dele af privatadresser.

Internetudbyderen Comcast Xfinity har været ramt af to alvorlig sårbarheder, som kan have lækket op til 26,5 millioner kunders personnumre og dele af deres privatadresse.

Det skriver mediet Buzzfeednews.

Det er sikkerhedsforskeren Ryan Stevenson, som har fundet to hidtil ukendte sårbarheder, der beskrives som nemme at udnytte med henblik på at få adgang til personoplysningerne.

Udleverer bopæl på spoofede IP-adresser

Stevenson, en 25 årig mand der streamer spil på twitch.tv og ifølge sin profil finder sikkerhedshuller på hjemmesider i sin fritid, fandt sårbarhederne på internetudbyderens kundeside.

Det ene hul afslørede adresser på kunder, ud fra en oplyst IP-adresse. Hvis man spoofede en IP og fandt ind på siden, som er lavet til at lade kunder betale deres regning uden at logge ind, fik man et valg mellem fire delvist censurerede adresser, hvor man skulle vælge sin egen for at komme videre.

Stevenson fandt ud af, at man bare kunne refreshe siden uhæmmet, hvilket skiftede alle adresserne ud på nær kundens rigtige adresse. Herefter kunne en kompetent angriber enten gætte de bortcensurerede bogstaver i adressen.

Personnumre bruteforces

Den anden sårbarhed lå på en sælger side, hvor Comcast sælgere rundt i USA kan slå kundeinformationer op. Her kunne man gætte sig frem til de fire sidste cifre i kunders personnummer ved at indtaste en adresse og begynde at gætte de fire cifre.

Der var ingen grænse for, hvor mange gange man kunne forsøge dette, og det var derfor forholdsvist enkelt for en angriber at brute-force cifrene ud fra adressen.

Især denne sårbarhed er kritisk, fordi de sidste fire cifre i nordamerikanske personnumre bruges til at bekræfte identitet over telefonen i USA. Sikkerhedsforskeren Jessy Irwin siger til Buzzfeednews at man kan få adgang til næsten enhver type konto med de cifre.

Ingen bug-bounty belønninger

Comcast har efter, at de blev bekendt med sårbarhederne, lukket for multiple-choice adressesystemet, som blev brugt til den første sårbarhed, og indført grænse for, hvor mange forsøg man har til at udnytte den anden sårbarhed.

Internetudbyderen har ingen bug-bounty program, men har en side til at alarmere dem om sårbarheder. Stevenson oplyste ikke Comcast om sårbarhederne, men har i stedet snakket med Buzzfeednews.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017