De acordo com um relatório divulgado pela BuzzFeed News, o investigador de segurança Ryan Stevenson descobriu uma vulnerabilidade no portal de clientes on-line do ISP (Internet Service Provider) que poderia permitir que partes não autorizadas determinassem o endereço residencial parcial dos clientes.
A falha foi identificada através da página Web de “autenticação doméstica” que os clientes poderiam usar para aceder às suas contas do Comcast Xfinity.
In-home authentication (also known as Home-Based Authentication, HBA, or IP authentication) is supposed to reduce the friction for customer attempting to access their accounts, and reduce the number of password resets requested.
A página solicitava que os utilizadores verificassem as suas contas escolhendo o seu endereço residencial correto a partir de uma lista de quatro endereços residenciais parciais.
Basicamente, escolher o endereço correto concede total acesso à conta.
Como é que o Comcast Xfinity sabe qual é o seu endereço residencial correto? Ao olhar para o endereço IP do visitante da página web.
Aqui surge o problema:
O investigador de segurança Ryan Stevenson conseguiu falsificar o endereço IP de um cliente e enganar a Comcast alterando o cabeçalho X-Forwarded-For durante o request ao servidor.
Então, ao atualizar repetidamente a página de login, três dos endereços residenciais parciais sugeridos mudariam – e apenas um permaneceria o mesmo, o correto pertencente ao cliente-alvo.
Um criminosos saberia agora o primeiro dígito do número da rua do cliente e as três primeiras letras da rua em que moravam, com asteriscos a ocultar todos os outros caracteres.
Como o BuzzFeed News explica, seria possível para um hacker mal-intencionado determinar a cidade, o estado e o código postal do cliente para o endereço parcial usando um website maliciosos para com o objetivo de obter o IP da vítima.
It’s easy to imagine how an individual might be targeted using the technique, as an IP address is shared with any website internet users access. If a malicious actor wanted to determine a particular XFinity customer’s home address they might even simply send their target a link to a webpage under their control or embed a tracking pixel inside an HTML message, with the specific intention of capturing an IP address.
Mas a história não termina aqui, já que Stevenson também encontrou outra falha de segurança nos sistemas da Comcast Xfinity – especificamente uma inscrição para a página de revendedores autorizados. A página Web estava vulnerável a brute-force e permitia aos hackers identificar o número de segurança social dos clientes.
O form solicitava ao cliente a introdução da sua morada (talvez determinada pelo método descrito acima) e os quatros últimos digitos do SSN (social security number).
A página permite validar os últimos quatro digitos infinitamente. Um hacker poderá escrever um script para fazer brute-force ao SSN com digitos entre 0000-9999.
A Comcast respondeu ao relatório das vulnerabilidades do BuzzFeed News, corrigindo rapidamente para evitar que falhas de segurança fossem exploradas por outras pessoas no futuro:
“We quickly investigated these issues and within hours we blocked both vulnerabilities, eliminating the ability to conduct the actions described by these researchers. We take our customers’ security very seriously, and we have no reason to believe these vulnerabilities were ever used against Comcast customers outside of the research described in this report.”