Hacker könnten durch eine Sicherheitslücke vollständigen Zugriff auf die Konten von Spectrum-Kunden erhalten

Spektrum / Brett Carlsen / Getty

Eine Schwachstelle auf der Website des Internet- und Kabel-TV-Anbieters Spectrum ermöglichte es fast jedem, Kundenkonten ohne Passwort zu übernehmen. Nur die IP-Adresse eines Spectrum-Kunden (eine Nummer, die für jedes mit dem Internet verbundene Gerät eindeutig ist) war erforderlich, um den Fehler auszunutzen, den Sicherheitsforscher Phobie und Nicholas Sträfling Ceraolo entdeckt.



Nachdem BuzzFeed News die bisher nicht gemeldeten Ergebnisse mit der Muttergesellschaft Charter Communications geteilt hatte, sagte Sprecher Francois Claude: Wir haben die Schwachstelle, auf die wir aufmerksam gemacht wurden, untersucht und schnell behoben. Wir untersuchen weiterhin, haben jedoch derzeit keinen Grund zu der Annahme, dass diese Sicherheitsanfälligkeit jemals außer den Sicherheitsforschern genutzt wurde, die sie BuzzFeed gemeldet haben.

Mit Zugriff auf das Internet- und Kabelfernsehanbieterkonto eines Kunden kann ein Hacker sensible personenbezogene Daten wie Rechnungsadresse, E-Mail und Kontonummer einsehen. Diese Informationen könnten verwendet werden, um Sozialingenieur – mit anderen Worten, täuschen – Kundenbetreuer, die zum Aufgeben verleitet werden könnten mehr Daten eines Ziels , oder sogar um den Kunden zu betrügen Phishing-E-Mails die so aussehen, als wären sie legitim, weil sie genaue, detaillierte persönliche Informationen zu ihrem Internetkonto enthalten.



Die myTWC-App , auf die ein Konto Zugriff gewährt, zeigt auch die MAC-Adresse (eine Nummer, die jedes Gerät in einem Netzwerk identifiziert) aller mit dem Dienst verbundenen Geräte an. Dies kann verwendet werden, um einen anderen Computer oder Router in einem Wi-Fi-Netzwerk zu imitieren, und einen Man-in-the-Middle-Angriff durchführen um den gesamten Webverkehr dieses Netzwerks zu erfassen und alle Daten zu erfassen, die an gesendet werden Nicht-HTTPS-Sites , einschließlich Zugangsdaten.


Wenn Sie Informationen oder Tipps haben, können Sie diesen Reporter über den verschlüsselten Chat-Dienst Signal unter 415-943-0446 kontaktieren. Sie können mit dem PGP-Schlüssel auch eine verschlüsselte E-Mail an nicole.nguyen@buzzfeed.com senden hier gefunden .


Charter Communications, der zweitgrößte Kabelanbieter in den USA, bietet 23 Millionen Kunden privaten Internetzugang. 2016 kaufte Charter Time Warner Cable und Bright House Networks und fusionierte die beiden Internetunternehmen unter der Marke Spectrum.

Claude stellte fest, dass nur ein Teil der 14 Millionen Altkunden von Time Warner Cable vor der Fusion – diejenigen ohne TWC-ID (ein Konto, über das sie Rechnungen bezahlen und online fernsehen können) – von der Sicherheitslücke betroffen war. Der Sprecher gab nicht genau bekannt, wie viele Personen in dieser Gruppe sind, und gab nur an, dass die Zahl deutlich geringer ist als die Abonnentenbasis des Unternehmens.

Spectrum verlangt von seinen Kunden keine Registrierung für eine TWC-ID, aber laut dem Charter-Sprecher hat sich die Mehrheit seiner Altkunden bereits registriert.

Eine Registrierungsseite, auf der Abonnenten eine TWC-ID erstellen können, enthielt die entscheidende Sicherheitslücke. Wenn sich der Zielkunde nicht für eine TWC-ID registriert hatte, könnte ein Hacker die Website austricksen und sich vollen Zugriff auf das Konto des Ziels verschaffen, indem er seine eigene IP-Adresse durch die des Kunden ersetzt, der die X-weitergeleitet-für-Technik , die auch von technisch nicht versierten Hackern mit einer einfachen Browsererweiterung ausgeführt werden kann.

Bild könnte enthalten: Innenbereich


Spektrum

Die Registrierungswebsite versuchte, die Identität der Abonnenten zu überprüfen, indem sie nach ihren Postleitzahlen und Telefonnummern fragte. Laut dem Sicherheitsforscher Phobia musste die Postleitzahl jedoch nicht stimmen, um zur nächsten Seite zu gelangen. Nur die mit dem Konto verknüpfte Telefonnummer musste korrekt sein. Darüber hinaus stellte Ceraolo fest, dass Hacker a rohe Gewalt Software-Programm im Telefonnummernfeld (also immer wieder verschiedene 10-stellige Kombinationen ausprobieren), da die Spectrum-Website die Anzahl der Versuche nicht begrenzt hat. Das bedeutet, dass es für einen Hacker relativ einfach wäre, das Konto einer Person auch ohne genaue Telefonnummer zu übernehmen.

Mit der gefälschten IP-Adresse und der korrekten Telefonnummer könnten sich Hacker für ein bestehendes Time Warner Cable-Abonnement für eine neue TWC-ID registrieren und vollständigen Zugriff auf das Konto des Kunden erhalten.

Wenn ein Kunde versucht, sich von einer anderen IP-Adresse als der seines Heimatstandorts für eine TWC-ID zu registrieren, benötigt Spectrum eine andere Form der Identifizierung (wie seine Bankkontonummer, seinen Führerschein oder die letzten vier Ziffern der Sozialversicherungsnummer eines Kontoinhabers). zusätzlich zu Postleitzahl und Telefonnummer. Dies schützte jedoch nicht vor Hackern, die die IP des Kunden fälschen.

Laut Marc Laliberte, Senior Security Analyst bei WatchGuard Technologies, macht die IP-Adressverifizierung die Anmeldung für weniger technisch versierte Benutzer einfach, opfert jedoch die Sicherheit für die Benutzerfreundlichkeit: Obwohl ich die Besonderheiten dieses Falls nicht kenne, im Allgemeinen [IP-Adressverifizierung ] macht es jemandem wie meiner Mutter einfacher, online auf ihr Konto zuzugreifen, fällt aber derselben Schwachstelle zum Opfer wie ein einzelnes Passwort anstelle einer Multi-Faktor-Authentifizierung. Dieses Passwort – oder die IP-Adresse – zu haben, ist wie die Schlüssel zum Königreich zu haben, sagte Laliberte.

IP-Adressen sind für jeden, der nach ihnen sucht, leicht zugänglich – und böswillige Akteure können sie leicht verwenden, um jemanden anzugreifen und zu belästigen. Webadministratoren können die IP-Adressen jedes Site-Besuchers sehen, und viele Online-Foren zeigen die IP-Adressen der Benutzer in ihren Profilen an. Und sobald jemand die IP-Adresse eines Ziels hat, kann er IP-Lookup-Tools verwenden, um den Internetdienstanbieter dieser Person sowie ihren Standort zu finden.

Spectrum ist nicht das einzige Unternehmen mit Sicherheitslücken bei der IP-Adressverifizierung. Comcast hat die teilweise Adresse seiner Kunden durch eine Sicherheitslücke in einer ähnlichen In-Home-Authentifizierungsmethode aufgedeckt, und das Unternehmen kürzlich die Seite deaktiviert nach einem BuzzFeed News-Bericht.

Time Warner hat die Daten seiner Kunden schon früher angreifbar gemacht. Im Jahr 2017 Softwareentwickler Kromtech enthüllt dass Millionen von Aufzeichnungen von Time Warner-Kunden, einschließlich Benutzernamen und Finanztransaktionen, auf Servern ohne Passwortschutz verfügbar waren. Weder Time Warner noch seine neue Muttergesellschaft Spectrum bieten ein Einreichungsformular oder eine Zahlung für Sicherheitsforscher an, die entdeckte Schwachstellen melden möchten. Viele andere Unternehmen, wie Google und Microsoft , Forschern ein Kopfgeld für das Einreichen von Sicherheitslücken zahlen.