Сервис Xfinity Mobile от Comcast использовал «0000» в качестве PIN-кода по умолчанию для всех своих мобильных клиентов, что оставляло их уязвимыми для попыток взлома, кражи личных данных и многого другого.

Решение Comcast использовать простые PIN-коды по умолчанию для всех своих клиентов стало известно из статьи «Help Desk» в The Washington Post, которая включала страшную историю одного из клиентов Comcast.

Ларри Уиттед, клиент Xfinity из Калифорнии, стал жертвой угонщика своего телефонного номера, который перенес его на новый счет в другой сети и украл его личность для совершения мошенничества.

Вор установил Samsung Pay на новый телефон с номером телефона и кредитной картой Уиттеда, а затем купил себе компьютер в Apple Store.

Это стало возможным потому, что Comcast не просит своих клиентов создавать PIN-код для защиты своих учетных записей, чтобы предотвратить их перевод к другому оператору. Вместо этого Comcast использует код по умолчанию 0000. Из документа поддержки Comcast:

Мы не требуем от вас создания PIN-кода учетной записи, поэтому вам не нужно предоставлять эту информацию вашему новому оператору.

Получение контроля над телефонным номером человека является популярным способом получения логинов для электронной почты, аккаунтов в социальных сетях, банковских счетов и многого другого. Любой сайт, который использует номер телефона для аутентификации данных, может быть доступен, когда у кого-то есть ваш номер телефона.

Харизматичные хакеры, использующие методы социальной инженерии, часто получают доступ к телефонным номерам от представителей службы поддержки, которые не обладают должной осведомленностью, но многие операторы связи внедрили PIN-коды, чтобы затруднить это. Не Comcast.

Это привело к тому, что другие клиенты Xfinity Mobile также столкнулись с угоном своих телефонных номеров, и поскольку телефонные номера используются для многих целей, хакеры могут получить доступ к большому количеству данных человека.

Comcast заявляет, что с тех пор внедрила новые меры, чтобы затруднить кражу телефонных номеров, и что она «активно работает» над созданием решения на основе PIN-кода, чего, по здравому смыслу, должно было быть доступно с момента запуска сервиса.

Comcast утверждает, что с этой проблемой пострадало «очень небольшое число» ее клиентов, и справедливо признает, что даже «один пострадавший клиент» — это «уже слишком много». Comcast утверждает, что клиенты, которые пострадали, возможно, использовали пароли, утекшие в результате других утечек данных.