На этой неделе издание ZDNet сообщило, что сайт Comcast, используемый для активации маршрутизаторов Xfinity, пропускал личные данные, включая домашний адрес пользователя, имя сети Wi-Fi и пароль. Эта ошибка была впервые обнаружена двумя исследователями Каран Саини и Райаном Стивенсоном.
Сайни и Стивенсон обнаружили, что им нужен только идентификатор клиента и номер дома или квартиры, чтобы заставить веб-сайт предоставлять информацию.
Несмотря на то, что форма запросила полный адрес, информация может быть получена из счета. Преступники таким образом могут угадать номер дома или квартиры.
В ZDNet смогли подтвердить, что ошибка действительно вернула домашние адреса, а также имя пользователя и пароль Wi-Fi в виде простого текста.
Для одного пользователя, который не использовал маршрутизатор Xfinity, веб-сайт вернул домашний адрес, но не имя пользователя или пароль сети Wi-Fi.
Comcast уже знает о проблеме, сотрудники удалили этот вариант со своего веб-сайта. «Нет ничего важнее, чем безопасность наших клиентов», — сказал представитель Comcast ZDNet.
