ハッカーはセキュリティ上の欠陥を通じてSpectrumの顧客のアカウントに完全にアクセスできる可能性があります

スペクトラム/ブレットカールセン/ゲッティ

インターネットおよびケーブルテレビプロバイダーのSpectrumのWebサイトの脆弱性により、ほぼすべての人がパスワードなしで顧客のアカウントを乗っ取ることが可能になりました。セキュリティ研究者がこの欠陥を悪用するには、Spectrumの顧客のIPアドレス(インターネットに接続されたすべてのデバイスに固有の番号)のみが必要でした。 恐怖症 そしてニコラスの有罪判決を受けたセラオロが発見した。



BuzzFeedNewsが以前に報告されていない調査結果を親会社のCharterCommunicationsと共有した後、スポークスマンのFrancois Claudeは、次のように述べています。調査を続けていますが、現時点では、この脆弱性がBuzzFeedに報告したセキュリティ研究者以外に使用されたと考える理由はありません。

ハッカーは、顧客のインターネットおよびケーブルTVプロバイダーのアカウントにアクセスできるため、請求先住所、電子メール、アカウント番号などの機密性の高い個人データを見ることができます。その情報は、 ソーシャルエンジニア —言い換えれば—だまされて諦める可能性のあるカスタマーサポート担当者 より多くのターゲットのデータ 、または顧客をだまして フィッシングメール インターネットアカウントに関連する正確で詳細な個人情報が含まれているため、正当なもののように見えます。



NS myTWCアプリ アカウントがアクセスを提供する、には、サービスに接続されている機器のMACアドレス(ネットワーク上の各デバイスを識別する番号)も表示されます。これは、Wi-Fiネットワーク上の別のコンピューターまたはルーターになりすますために使用できます。 中間者タイプの攻撃を実行する そのネットワークのすべてのWebトラフィックをキャプチャし、に送信されたデータを取得します 非HTTPSサイト 、ログイン資格情報を含みます。


情報やヒントがある場合は、暗号化されたチャットサービスSignal(415-943-0446)を介してこのレポーターに連絡できます。 PGPキーを使用して、暗号化された電子メールをnicole.nguyen@buzzfeed.comに送信することもできます。 ここで見つかりました


米国で2番目に大きいケーブルプロバイダーであるチャーターコミュニケーションズは、2,300万人の顧客に住宅用インターネットアクセスを提供しています。 2016年、チャーターはTime WarnerCableとBrightHouse Networksを購入し、Spectrumブランドで2つのインターネット企業を統合しました。

クロード氏は、タイムワーナーケーブルの合併前のレガシー顧客であるTWC ID(請求書の支払いやオンラインテレビの視聴が可能なアカウント)を持たない顧客のサブセットのみがセキュリティ上の欠陥の影響を受けたと述べました。広報担当者は、そのグループの正確な人数を明らかにせず、その数は会社の加入者ベースよりも大幅に少ないと述べただけです。

Spectrumは、顧客がTWC IDに登録する必要はありませんが、憲章のスポークスパーソンによると、レガシー顧客の大多数はすでに登録しています。

サブスクライバーがTWCIDを作成できる登録ページには、重大なセキュリティ上の欠陥が含まれていました。標的となる顧客がTWCIDに登録していない場合、ハッカーはWebサイトをだまして、自分のIPアドレスを顧客のIPアドレスに置き換えることにより、標的のアカウントへのフルアクセスを取得する可能性があります。 X-forwarded-forテクニック 、単純なブラウザ拡張機能を備えた技術的に洗練されていないハッカーでも実行できます。

キャスタウェイからのウィルソンの写真


スペクトラム

登録Webサイトは、郵便番号と電話番号を尋ねることにより、加入者のIDを確認しようとしました。しかし、セキュリティ研究者のPhobiaによると、次のページに進むために郵便番号が正しい必要はありませんでした。アカウントに関連付けられている電話番号のみが正確である必要がありました。さらに、Ceraoloは、ハッカーが 強引な Spectrum Webサイトでは試行回数が制限されていないため、電話番号フィールドのソフトウェアプログラム(つまり、異なる10桁の組み合わせを繰り返し試行します)。つまり、正確な電話番号がなくても、ハッカーが誰かのアカウントを乗っ取るのは比較的簡単です。

なりすましのIPアドレスと正しい電話番号を使用して、ハッカーは既存のTime WarnerCableサブスクリプションで新しいTWCIDに登録し、顧客のアカウントへの完全なアクセス権を取得できます。

顧客が自宅の場所とは異なるIPアドレスからTWCIDを登録しようとすると、Spectrumは別の形式のID(銀行口座番号、運転免許証、口座名義人の社会保障番号の下4桁など)を必要とします。郵便番号と電話番号に加えて。ただし、これでは、ハッカーが顧客のIPをスプーフィングするのを防ぐことはできませんでした。

WatchGuardTechnologiesのシニアセキュリティアナリストであるMarcLaliberteによると、IPアドレスの検証により、技術に精通していないユーザーのログインが簡単になりますが、使いやすさのためにセキュリティが犠牲になります。このケースの詳細はわかりませんが、一般的に[IPアドレスの検証]は、私の母のような誰かがオンラインで彼女のアカウントにアクセスするのを容易にしますが、多要素認証ではなく、単一のパスワードと同じ脆弱性の犠牲になります。そのパスワード(またはIPアドレス)を持っていることは、王国の鍵を持っているようなものだとラリベルテ氏は語った。

IPアドレスは、探している人なら誰でもすぐに利用できます。悪意のある人物は、IPアドレスを簡単に使用して、誰かを標的にし、嫌がらせをすることができます。 Web管理者は、すべてのサイト訪問者のIPアドレスを確認でき、多くのオンラインフォーラムでは、ユーザーのIPアドレスがプロファイルに表示されます。また、誰かがターゲットのIPアドレスを取得すると、IPルックアップツールを使用して、その人のインターネットサービスプロバイダーとその場所を見つけることができます。

IPアドレス検証の脆弱性を抱えているのはSpectrumだけではありません。 Comcastは、同様の家庭内認証方法のセキュリティの脆弱性を通じて顧客の部分的な住所を公開しました。 ページを無効にしました BuzzFeedニュースレポートの後。

Time Warnerは、以前は顧客のデータを脆弱なままにしていました。 2017年、ソフトウェア開発者のKromtech 明らかに ユーザー名や金融取引など、Time Warnerの何百万もの顧客の記録が、パスワードで保護されていないサーバーで利用可能でした。 Time Warnerもその新しい親会社であるSpectrumも、発見された脆弱性を報告したいセキュリティ研究者に提出フォームや支払いを提供していません。他の多くの会社のような グーグルマイクロソフト 、セキュリティ上の欠陥を提出したことに対して研究者に報奨金を支払う。