• ტექნიკური

ჰაკერებს შეეძლოთ სპექტრის კლიენტების ანგარიშებზე სრული წვდომის მოპოვება უსაფრთხოების ხარვეზის საშუალებით

ინტერნეტისა და საკაბელო ტელევიზიის პროვაიდერის Spectrum ვებგვერდის დაუცველობამ შესაძლებელი გახადა თითქმის ყველასთვის დაეუფლებინა მომხმარებლების ანგარიშები პაროლის გარეშე. ხარვეზის გამოსაყენებლად საჭირო იყო მხოლოდ სპექტრის მომხმარებლის IP მისამართი (რიცხვი, რომელიც უნიკალურია ინტერნეტთან დაკავშირებული ყველა მოწყობილობისთვის). ფობია და ნიკოლოზის მსჯავრდებულმა კერაოლომ აღმოაჩინა.

მას შემდეგ, რაც BuzzFeed News– მა ადრე გამოუცხადებელი დასკვნები გაუზიარა მშობელ კომპანიას Charter Communications– ს, სპიკერმა ფრანსუა კლოდმა თქვა, ჩვენ გამოვიკვლიეთ და სწრაფად განვახორციელეთ ჩვენი ყურადღების ცენტრში არსებული დაუცველობის გამოსწორება. ჩვენ ვაგრძელებთ გამოძიებას, მაგრამ ამ დროს არანაირი საფუძველი არ გვაქვს ვივარაუდოთ, რომ ეს დაუცველობა ოდესმე იქნა გამოყენებული უსაფრთხოების მკვლევარების მიღმა, რომლებმაც ამის შესახებ განაცხადეს BuzzFeed– ზე.

კლიენტის ინტერნეტ და საკაბელო ტელევიზიის პროვაიდერის ანგარიშზე წვდომის შემთხვევაში, ჰაკერს შეუძლია დაინახოს მგრძნობიარე პერსონალური მონაცემები, როგორიცაა მათი ბილინგის მისამართი, ელ.ფოსტა და ანგარიშის ნომერი. ეს ინფორმაცია შეიძლება გამოყენებულ იქნას სოციალური ინჟინერი - სხვა სიტყვებით რომ ვთქვათ, მოატყუეთ - მომხმარებელთა დამხმარე პერსონალი, რომლებიც შეიძლება მოატყუონ დანებებაში მეტი სამიზნე მონაცემები , ან თუნდაც მომხმარებლის მოტყუება ფიშინგის წერილები როგორც ჩანს, ისინი ლეგიტიმურია, რადგან ისინი შეიცავს ზუსტ, დეტალურ პირად ინფორმაციას, რომელიც დაკავშირებულია მათ ინტერნეტ ანგარიშთან.

ის myTWC აპლიკაცია , რომელზეც ანგარიშს აქვს წვდომა, ასევე ნაჩვენებია MAC მისამართი (ნომერი, რომელიც განსაზღვრავს თითოეულ მოწყობილობას ქსელში) სერვისთან დაკავშირებულ ნებისმიერ აღჭურვილობას. ეს შეიძლება გამოყენებულ იქნას სხვა კომპიუტერის ან როუტერის იმიტირებაზე Wi-Fi ქსელში და განახორციელოს კაცი-შუა ტიპის შეტევა რომ დაიჭიროს ქსელის მთელი ვებ ტრაფიკი და მოიპოვოს ნებისმიერი მონაცემი არა HTTPS საიტები , მათ შორის შესვლის რწმუნებათა სიგელები.

თუ თქვენ გაქვთ ინფორმაცია ან რჩევები, შეგიძლიათ დაუკავშირდეთ ამ რეპორტიორს დაშიფრული ჩატის სერვისით სიგნალი 415-943-0446. თქვენ ასევე შეგიძლიათ გააგზავნოთ დაშიფრული ელ.წერილი nicole.nguyen@buzzfeed.com, PGP გასაღების გამოყენებით ნაპოვნია აქ რა

Charter Communications, აშშ – ში სიდიდით მეორე საკაბელო პროვაიდერი, 23 მილიონ მომხმარებელს აძლევს საცხოვრებელ ინტერნეტს. 2016 წელს ჩარტერმა შეიძინა Time Warner Cable და Bright House Networks და გააერთიანა ორი ინტერნეტ კომპანია Spectrum ბრენდის ქვეშ.

კლოდმა აღნიშნა, რომ Time Warner Cable– ის მხოლოდ 14 მილიონამდე წინასწარი შერწყმის მომხმარებელთა ქვეგანყოფილება-TWC პირადობის მოწმობის გარეშე (ანგარიში, რომლის საშუალებითაც მათ შეუძლიათ გადაიხადონ გადასახადები და უყურონ ტელევიზორს ინტერნეტით)-დაზარალდა უსაფრთხოების ხარვეზით. სპიკერმა არ გამოაქვეყნა ზუსტად რამდენი ადამიანია ამ ჯგუფში და მხოლოდ განაცხადა, რომ რიცხვი მნიშვნელოვნად ნაკლებია კომპანიის აბონენტთა ბაზაზე.

სპექტრი არ მოითხოვს მის მომხმარებლებს დარეგისტრირდნენ TWC ID– ზე, მაგრამ ქარტიის სპიკერის თანახმად, მისი მემკვიდრეობის უმრავლესობა უკვე დარეგისტრირებულია.

რეგისტრაციის გვერდი, სადაც აბონენტებს შეუძლიათ შექმნან TWC ID შეიცავს უსაფრთხოების უმნიშვნელოვანეს ხარვეზს. თუ მიზნობრივი მომხმარებელი არ იყო რეგისტრირებული TWC ID– სთვის, ჰაკერს შეეძლო ვებგვერდის მოტყუება და სამიზნე ანგარიშზე სრული წვდომის მოპოვება, საკუთარი IP მისამართის შეცვლით კლიენტის გამოყენებით X-forwarded-for ტექნიკა , რომელიც შეიძლება შესრულდეს თუნდაც ტექნიკურად დახვეწილი ჰაკერების მიერ ბრაუზერის მარტივი გაფართოებით.

რეგისტრაციის ვებგვერდი ცდილობდა აბონენტების ვინაობის გადამოწმებას მათი საფოსტო კოდისა და ტელეფონის ნომრების მოთხოვნით. მაგრამ უსაფრთხოების მკვლევარის ფობიის თქმით, საფოსტო კოდის შესწორება არ იყო საჭირო შემდეგ გვერდზე გადასასვლელად. მხოლოდ ანგარიშთან დაკავშირებული ტელეფონის ნომერი უნდა იყოს ზუსტი. გარდა ამისა, სერაოლომ აღმოაჩინა, რომ ჰაკერებს შეეძლოთ ა უხეში ძალა პროგრამული უზრუნველყოფა ტელეფონის ნომრის ველში (სხვა სიტყვებით რომ ვთქვათ, არაერთხელ სცადეთ სხვადასხვა 10-ნიშნაანი კომბინაცია), რადგან სპექტრის ვებსაიტი არ ზღუდავს მცდელობების რაოდენობას. ეს ნიშნავს, რომ ჰაკერისთვის შედარებით ადვილი იქნებოდა ვინმეს ანგარიშის აღება ზუსტი ტელეფონის ნომრის გარეშეც კი.

გაყალბებული IP მისამართით და ტელეფონის სწორი ნომრით, ჰაკერებს შეეძლოთ დარეგისტრირდეთ ახალ TWC ID– ზე Time Warner Cable– ის არსებულ ხელმოწერაზე და მიიღონ სრული წვდომა მომხმარებლის ანგარიშზე.

თუ მომხმარებელი ცდილობს დარეგისტრირდეს TWC ID– სთვის განსხვავებული IP მისამართიდან, ვიდრე მისი სახლის ადგილმდებარეობა, Spectrum მოითხოვს სხვა სახის იდენტიფიკაციას (როგორიცაა მათი საბანკო ანგარიშის ნომერი, მართვის მოწმობა ან ანგარიშის მფლობელის სოციალური დაცვის ნომრის ბოლო ოთხი ციფრი), საფოსტო კოდისა და ტელეფონის ნომრის გარდა. ამასთან, ეს არ იცავდა ჰაკერებისგან მომხმარებლის IP– ის გაყალბებისგან.

მარკ ლალიბერტეს, WatchGuard Technologies– ის უსაფრთხოების უფროსი ანალიტიკოსის თქმით, IP მისამართების გადამოწმება ხდის შესვლას მარტივად ნაკლებად ტექნიკურად მცოდნე მომხმარებლებისთვის, მაგრამ ის სწირავს უსაფრთხოებას გამოყენებადობისათვის: მიუხედავად იმისა, რომ მე არ ვიცი ამ საქმის სპეციფიკა, ზოგადად [IP მისამართის გადამოწმება ] გაუადვილებს ვიღაცას, როგორიც დედაჩემია, შევიდეს თავის ანგარიშზე ინტერნეტით, მაგრამ ხდება იგივე დაუცველობის მსხვერპლი, როგორც ერთი პაროლი, მრავალფუნქციური ავტორიზაციის ნაცვლად. ამ პაროლის ან IP მისამართის ქონა სამეფოს გასაღებების ქონაა, თქვა ლალიბერტემ.

IP მისამართები ხელმისაწვდომია ყველასთვის, ვინც ეძებს მათ - და ცუდ მსახიობებს შეუძლიათ ადვილად გამოიყენონ ისინი ვინმეს სამიზნე და შევიწროების მიზნით. ვებ ადმინისტრატორებს შეუძლიათ იხილონ თითოეული საიტის ვიზიტორების IP მისამართები და ბევრი ონლაინ ფორუმი აჩვენებს მომხმარებლების IP მისამართებს მათ პროფილებში. და მას შემდეგ, რაც ვინმეს ექნება სამიზნე IP მისამართი, მას შეუძლია გამოიყენოს IP საძიებელი ინსტრუმენტები, რომ იპოვოს იმ პირის ინტერნეტ სერვისის პროვაიდერი, ასევე მათი მდებარეობა.

სპექტრი არ არის ერთადერთი კომპანია, რომელსაც აქვს IP მისამართების შემოწმების დაუცველობა. Comcast– მა გამოავლინა თავისი მომხმარებლების ნაწილობრივი მისამართი უსაფრთხოების დაუცველობის გამო, სახლის მსგავსი ავტორიზაციის მეთოდით და კომპანიამ ცოტა ხნის წინ გამორთულია გვერდი BuzzFeed News– ის ანგარიშის შემდეგ.

Time Warner– მა თავისი მომხმარებლების მონაცემები ადრე დაუცველი დატოვა. 2017 წელს პროგრამული უზრუნველყოფის შემქმნელი Kromtech გამოვლინდა რომ Time Warner– ის მილიონობით მომხმარებლის ჩანაწერი, მათ შორის მომხმარებლის სახელები და ფინანსური გარიგებები, იყო სერვერებზე პაროლის დაცვის გარეშე. არც Time Warner და არც მისი ახალი მშობელი კომპანია Spectrum არ გვთავაზობენ წარდგენის ფორმას ან გადახდას უსაფრთხოების მკვლევარებისთვის, რომელთაც სურთ გამოავლინონ აღმოჩენილი დაუცველობები. ბევრი სხვა კომპანია, მაგალითად Google და Microsoft , გადაუხადეთ მკვლევარებს ჯილდო უსაფრთხოების ხარვეზების წარდგენისთვის.