Comcast 遇上了一场重大安全事件，这使得骇客能轻松劫持随机客户的电话号码。

Xfinity Mobile 是 Comcast 在 2017 年推出的无线服务，允许客户将他们现有的号码转移过来。为了方便起见，所有帐户的默认密码都是 “0000”，而且无需任何其他 PIN 码。

客户开始报告，他们的电话号码在未经许可的情况下被转移，骇客因此将这些号码切换到他们自己的帐户以盗取身份。

骇客要转移一个电话号码，需要两样东西：帐户号码和 PIN 码。由于每个 Xfinity 客户的 PIN 码都是一样的0000任何时候只要骇客获得了帐户号码，就能轻松转移号码。此外，由于客户无法更改他们的 PIN 码，他们实际上无法采取任何措施来保护自己。

客户是怎么被牵连的？

如果你对每一个帐户都使用相同的密码/电子邮件组合，骇客很容易就能窃取你的帐户号码。一旦骇客得知你某个网站的密码无论是通过钓鱼诈骗还是搜寻暗网他们就能尝试用这个组合登录 Comcast。如果成功进入，他们就可以获取你的帐户号码，并使用默认的 PIN 码劫持你的电话号码。

Comcast 当然在为自己辩解，表示这种情况可能发生在任何移动运营商身上，并且他们在电子邮件或纸质帐单中不会显示帐户号码。因此，骇客需要直接访问客户的网络帐户。但 Xfinity 是唯一一家拥有无法更改的默认 PIN 码的运营商。

Comcast 现在表示已经修复了这个问题，但尚未公布具体的修复方法。他们说最终会实施每个 Xfinity 客户唯一的 PIN 码，但没有给出具体的时间表。

“我们相信这只影响了那些密码可能出现在之前与 Comcast 无关的资料外泄事件中的客户。我们建议客户使用独特和强大的密码。此外，客户还可以通过注册双重身份验证来进一步保护他们的 Xfinity 帐户。”Comcast 告诉 Ars Technica。

以下是 华盛顿邮报 对一位受影响客户的报导：

“这是一个足够大到可以开卡车穿过的安全漏洞，”加州洛迪的读者拉里怀特德上周写道。

作为 Comcast 的 Xfinity Mobile 手机服务客户，怀特德表示，有人能够劫持他的电话号码，并将其转移到另一个运营商的新帐户上，从而犯下身份盗窃罪。诈骗者在新手机上加载了怀特德的三星支付，并前往亚特兰大的苹果商店购买了一台电脑。

和其他帐户一样，确保使用强大且独特的密码。对于大多数人来说，密码管理器是一个不错的选择。当有双重身份验证可用时，建议你加以利用。这样，即使有人能访问你的密码，他们仍然无法登录，除非他们还能访问到你的手机或其他指定帐户。