首页 > 科技 > > 正文
2021-07-27 09:08:22

Con Edison网站漏洞可能导致帐户劫持

导读 音频解说 康爱迪生网站的一个安全缺

音频解说

康爱迪生网站的一个安全缺陷可以允许攻击者劫持客户帐户并窃取个人信息。

康·埃德是美国最大的公用事业供应商之一,在纽约和西切斯特县为300多万客户服务。 尽管该公司拥有近130亿$年收入和360亿资产,但其网站上仍然有可追溯到2010年的代码。

大多数客户要么手动键入网站地址,要么点击搜索结果的第一个链接,风险最大,因为它的在线客户门户网站coned.com默认是在未加密的连接上服务的,但允许用户从该页面登录到他们的帐户。

一个未加密的ConEd网站的欺骗版本,它显示攻击者如何窃取用户的密码。 图像信贷:ZDNet

从主页提交的用户名和密码被发送到加密的HTTPS链接。 但是,当登录页面首次加载时,用户浏览器和网站之间发送的任何内容都不会被打乱。 这意味着同一网络上的任何人,如咖啡店的热点,都可以很容易地修改登录页面,以拦截和窃取该人的用户名和密码。

“这不安全,”安全研究员肯尼斯·怀特在一封信中告诉我。

成功的攻击者可以作为客户登录,让他们看到个人信息-包括家庭地址、电话号码、帐号、账单历史记录和邮寄信件副本。

怀特向我展示了攻击者模拟一个未加密的网站(比如ConEd的网站)是多么的容易,这可能会欺骗用户向攻击者输入他们的用户名和密码。

通过修改我的电脑的“主机”文件,怀特能够欺骗我的浏览器将“coned.com”重定向到他自己的一个服务器。 虽然我的浏览器地址栏上写着“coned.com”,但实际的页面是在怀特的一个服务器上托管的。

其他攻击是可能的,通过DNS劫持等技术,攻击者可以将任何访问者从ConEd的站点重定向到他们自己的站点。

但是,更容易和更有可能的是,攻击者可以注册他们自己类似的域名,并通过电子邮件钓鱼活动欺骗用户访问。 怀特说:“在大多数邮件阅读器或电话上,你看不出有什么不同。”

HT TPS连接不仅仅是确保浏览器和服务器之间的数据是安全的,它们还确保了站点的完整性。 用绿色挂锁固定的网站几乎不可能操作,确保你所看到的是网站制造商对它的意图。

这些公司在2015年最大的黑客入侵中丢失了你的数据

你的数据被黑客偷走了吗? (Hynt:可能是。)

多读书

EVSSL提供商Cert Simple的创始人迈克·麦克卡纳(Mike MacCana)在一封电子邮件中告诉我,拥有他的公司提供的扩展验证证书的网站可以帮助保护网站不被模仿。 他补充说,网站的问题可以很容易地解决。

MacCana说:“默认情况下,网站应该从HTTP重定向到HTTPS。 “所有的网站都应该这样做,特别是像ConEd这样的网站,用户名和密码都是在首页发送的。”

怀特说,“处理凭证的现代网站不能通过强制性的HTTPS提供,这是完全不负责任的”,特别是那些能够获得账单或付款信息的网站。

“不幸的是,这仍然是一个普遍存在的问题,在商业世界和政府网站,”他说。

康爱德远远不是唯一一个网站,有一个老化的网站,有缺陷,过时的代码。

周一,科技网站Matherboard报告说,一些美国军事网站包含“严重”的漏洞,这些漏洞对黑客来说也是“微不足道。 根据这份报告,一个窃听器允许黑客“欺骗网站,揭露一个包含国防部个人信息的数据库的内容。 雇员,例如雇员姓名及家庭住址。“

怀特说:“网络不是因为复杂的漏洞而被打破的,而是因为许多人忽视了基本的第一原则。

一位ConEd发言人确认,在发布这个故事后,主页上的登录框被删除了。

发言人MichaelClendenin说:“你现在点击一个登录按钮,然后进入一个安全的页面输入你的用户名和密码。”