Los piratas informáticos podrían obtener acceso completo a las cuentas de los clientes de Spectrum a través de una falla de seguridad

Espectro / Brett Carlsen / Getty

Una vulnerabilidad en el sitio web del proveedor de televisión por cable e Internet Spectrum hizo posible que casi cualquier persona se hiciera cargo de las cuentas de los clientes sin una contraseña. Solo se requirió la dirección IP de un cliente de Spectrum (un número único para cada dispositivo conectado a Internet) para explotar la falla, que los investigadores de seguridad Fobia y Nicholas Convict descubrió Ceraolo.



Después de que BuzzFeed News compartiera los hallazgos no informados previamente con la empresa matriz Charter Communications, el portavoz Francois Claude dijo: Investigamos e implementamos rápidamente una solución a la vulnerabilidad que se nos informó. Continuamos investigando, pero en este momento no tenemos ninguna razón para creer que esta vulnerabilidad alguna vez se usó más allá de los investigadores de seguridad que informaron a BuzzFeed.

Con acceso a la cuenta del proveedor de Internet y televisión por cable de un cliente, un pirata informático puede ver datos personales confidenciales como su dirección de facturación, correo electrónico y número de cuenta. Esa información podría usarse para ingeniero social - en otras palabras, engañar - al personal de atención al cliente, que podría ser engañado para que se rinda más datos de un objetivo o incluso para engañar al cliente con correos electrónicos de phishing que parecen legítimos porque incluyen información personal precisa y detallada relacionada con su cuenta de Internet.



los aplicación myTWC , a la que una cuenta proporciona acceso, también muestra la dirección MAC (un número que identifica a cada dispositivo en una red) de cualquier equipo conectado al servicio. Esto se puede usar para hacerse pasar por otra computadora o enrutador en una red Wi-Fi, y realizar un tipo de ataque de hombre en el medio para capturar todo el tráfico web de esa red y adquirir los datos enviados a sitios que no son HTTPS , incluidas las credenciales de inicio de sesión.


Si tiene información o sugerencias, puede comunicarse con este reportero a través del servicio de chat encriptado Signal al 415-943-0446. También puede enviar un correo electrónico cifrado a nicole.nguyen@buzzfeed.com, utilizando la clave PGP encontrado aquí .


Charter Communications, el segundo proveedor de cable más grande de los EE. UU., Brinda acceso residencial a Internet a 23 millones de clientes. En 2016, Charter compró Time Warner Cable y Bright House Networks, y fusionó las dos compañías de Internet bajo la marca Spectrum.

Claude señaló que solo un subconjunto de los 14 millones de clientes heredados de Time Warner Cable antes de la fusión, aquellos sin una identificación de TWC (una cuenta a través de la cual pueden pagar facturas y ver televisión en línea), se vieron afectados por la falla de seguridad. El portavoz no reveló exactamente cuántas personas hay en ese grupo y solo afirmó que el número es significativamente menor que la base de suscriptores de la empresa.

Spectrum no requiere que sus clientes se registren para obtener un ID de TWC, pero según el portavoz de Charter, la mayoría de sus clientes heredados ya se han registrado.

Una página de registro donde los suscriptores pueden crear un ID de TWC contenía la falla de seguridad crucial. Si el cliente objetivo no se había registrado para obtener un ID de TWC, un pirata informático podría engañar al sitio web y obtener acceso completo a la cuenta del objetivo reemplazando su propia dirección IP con la del cliente utilizando el Técnica de reenvío X , que puede ser ejecutado incluso por hackers técnicamente poco sofisticados con una simple extensión de navegador.



Espectro

El sitio web de registro intentó verificar las identidades de los suscriptores solicitando sus códigos postales y números de teléfono. Pero según el investigador de seguridad Phobia, no era necesario que el código postal fuera correcto para pasar a la página siguiente. Solo el número de teléfono asociado con la cuenta debe ser exacto. Además, Ceraolo descubrió que los piratas informáticos podrían usar un fuerza bruta programa de software en el campo del número de teléfono (en otras palabras, pruebe repetidamente diferentes combinaciones de 10 dígitos), porque el sitio web de Spectrum no limitó el número de intentos. Eso significa que sería relativamente fácil para un pirata informático hacerse cargo de la cuenta de alguien incluso sin un número de teléfono preciso.

Con la dirección IP falsificada y el número de teléfono correcto, los piratas informáticos podrían registrarse para obtener una nueva ID de TWC en una suscripción existente de Time Warner Cable y obtener acceso completo a la cuenta del cliente.

Si un cliente intenta registrarse para obtener un ID de TWC desde una dirección IP diferente a la de su domicilio, Spectrum requiere otra forma de identificación (como su número de cuenta bancaria, licencia de conducir o los últimos cuatro dígitos del número de seguro social del titular de la cuenta), además del código postal y el número de teléfono. Sin embargo, esto no protegió contra piratas informáticos que falsificaran la IP del cliente.

Según Marc Laliberte, analista de seguridad senior de WatchGuard Technologies, la verificación de la dirección IP simplifica el inicio de sesión para los usuarios menos expertos en tecnología, pero sacrifica la seguridad por la usabilidad: aunque no conozco los detalles de este caso, en general [verificación de la dirección IP ] hace que sea más fácil para alguien como mi mamá acceder a su cuenta en línea, pero es víctima de la misma vulnerabilidad que una sola contraseña, en lugar de la autenticación de múltiples factores. Tener esa contraseña, o dirección IP, es como tener las llaves del reino, dijo Laliberte.

Las direcciones IP están disponibles para cualquiera que las busque, y los malos actores pueden usarlas fácilmente para atacar y acosar a alguien. Los administradores web pueden ver las direcciones IP de cada visitante del sitio y muchos foros en línea muestran las direcciones IP de los usuarios en sus perfiles. Y una vez que alguien tiene la dirección IP de un objetivo, puede usar herramientas de búsqueda de IP para encontrar el proveedor de servicios de Internet de esa persona, así como su ubicación.

Spectrum no es la única empresa con vulnerabilidades de verificación de direcciones IP. Comcast expuso la dirección parcial de sus clientes a través de una vulnerabilidad de seguridad en un método de autenticación en el hogar similar, y la empresa recientemente desactivado la página después de un informe de BuzzFeed News.

Time Warner ha dejado vulnerables los datos de sus clientes antes. En 2017, el desarrollador de software Kromtech revelado que millones de registros de clientes de Time Warner, incluidos nombres de usuario y transacciones financieras, estaban disponibles en servidores sin protección por contraseña. Ni Time Warner ni su nueva empresa matriz, Spectrum, ofrecen un formulario de envío o pago para los investigadores de seguridad que desean informar sobre las vulnerabilidades descubiertas. Muchas otras empresas, como Google y Microsoft , pagar a los investigadores una recompensa por presentar fallas de seguridad.