Den amerikanske internetudbyder Comcast Xfinity, har muligvis givet adgang til 26,5 milloner personnumre på selskabets kunder.
Det skriver Buzzfeed.
Sårbarheden blev påpeget af Ryan Stevenson, der er sikkerhedsforsker men i sin fritid finder sikkerhedshuller på forskellige hjemmesider.
Ved at kende til en kundes IP-adresse kunne Stevenson få adgang til Comcasts øvrige kunder, ved at lade som om, at han skulle betale en regning uden at logge ind. Det gav ham nemlig valgte mellem fire delvist cencurerede adresser.
Med en IP-adresse og en delvist cencureret adresse kunne Stevenson nu få adgang til kundernes CPR-numre ved at bruge en sælgerside, som Comcast sælgere bruger til at få informationer om selskabets kunder, til at finde frem til kundernes personumre.
Comcast har lukket hullet igen
Ryan Stevenson oplyste ikke Comcast selv om sårbarhederne men fortalte i stedet Buzzfeed om sit fund.
Læs også: KMD-systemer hacket af medarbejder hos konkurrent - fører til politianmeldelse
Buzzfeed kontaktede derefter Comcast der fik patchet sårbarhederne.
“Vi fik hurtigt undersøgt problemerne og inden for en time fik vi blokeret begge sårbarheder, og elimineret muligheden for at udføre de her angreb, der blev påpeget af forskeren,” siger Comcast til Buzzfeed.
