Una falla de seguridad de Charter expuso recientemente los datos de millones de clientes. En el sitio web de Charter Communications (Spectrum), se encontró una vulnerabilidad que permitía a casi cualquier persona hacerse cargo de las cuentas de los clientes sin necesidad de una contraseña (a través de TechDirt).
[People Can Buy Apple Hacking Tools on the Dark Web]
Fallo de seguridad de la Carta
La falla implica engañar a un sitio web de Spectrum que permite a los suscriptores crear una identificación para Time Warner Cable (que Charter adquirió recientemente). Si un cliente aún no se ha registrado para obtener una identificación, la vulnerabilidad permite que un atacante engañe al sitio web para que cree una reemplazando su dirección IPD con la dirección IP del cliente.
El sitio web de registro intentó verificar las identidades de los suscriptores solicitando sus códigos postales y números de teléfono. Pero según el investigador de seguridad Phobia, no era necesario que el código postal fuera correcto para pasar a la página siguiente. Solo el número de teléfono asociado con la cuenta debe ser exacto.
Además, Ceraolo descubrió que los piratas informáticos podían usar un programa de software de fuerza bruta en el campo del número de teléfono (en otras palabras, probar repetidamente diferentes combinaciones de 10 dígitos), porque el sitio web de Spectrum no limitaba la cantidad de intentos. Eso significa que sería relativamente fácil para un pirata informático hacerse cargo de la cuenta de alguien incluso sin un número de teléfono preciso.
Clientes afectados
Después de que se creó la identificación falsa, el atacante tiene acceso a datos privados como direcciones de facturación, correos electrónicos y números de cuenta. Charter tiene 23 millones de suscriptores, pero no todos se ven afectados. Las personas que eran suscriptoras de Time Warner Cable antes de la fusión se ven afectadas, que son 14 millones de usuarios.
Charter no dirá cuántas personas se han visto afectadas, aunque la compañía afirma que las fallas en realidad no fueron explotadas.
[This Simple Back Door Hack for Your Mac is Exactly Why FileVault Should be Enabled]
