Ошибка веб-сайта Xfinity выявила домашние адреса и пароли Wi-Fi

На этой неделе издание ZDNet сообщило, что сайт Comcast, используемый для активации маршрутизаторов Xfinity, пропускал личные данные, включая домашний адрес пользователя, имя сети Wi-Fi и пароль. Эта ошибка была впервые обнаружена двумя исследователями Каран Саини и Райаном Стивенсоном.

Сайни и Стивенсон обнаружили, что им нужен только идентификатор клиента и номер дома или квартиры, чтобы заставить веб-сайт предоставлять информацию.

Несмотря на то, что форма запросила полный адрес, информация может быть получена из счета. Преступники таким образом могут угадать номер дома или квартиры.

В ZDNet смогли подтвердить, что ошибка действительно вернула домашние адреса, а также имя пользователя и пароль Wi-Fi в виде простого текста.

Для одного пользователя, который не использовал маршрутизатор Xfinity, веб-сайт вернул домашний адрес, но не имя пользователя или пароль сети Wi-Fi.

Comcast уже знает о проблеме, сотрудники удалили этот вариант со своего веб-сайта. «Нет ничего важнее, чем безопасность наших клиентов», — сказал представитель Comcast ZDNet.

Источник ^[1]