Reportage

Endnu en alvorlig sårbarhed i Yousee-hardware: TDC vil ikke oplyse, hvor mange der er ramt

12. februar 2020 kl. 05:047
Endnu en alvorlig sårbarhed i Yousee-hardware: TDC vil ikke oplyse, hvor mange der er ramt
Illustration: Improsec.
Wifi-extendere hentede opdateringer fra en FTP-server, som alle og enhver kunne skrive til. Dermed har Yousee-produkter gjort kunder sårbare over for hackerangreb, uden at TDC's egne folk fangede sikkerhedshullerne. Alligevel stoler TDC fortsat på egen fejl-tjek.
Mads Lorenzen
Mads Lorenzen
Journalist
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
Mads Lorenzen
Mads Lorenzen
Journalist

Wi-fi-extendere solgt af TDC og Yousee var tilsluttet en dybt usikker FTP-server, der potentielt kunne udrulle enhver software, angribere kunne tænke sig, til alle tilsluttede Askey-extendere udleveret af TDC til kunderne.

Hullet blev opdaget af firmaet Improsec, der har beskrevet det teknisk i en blog.

Log ind og læs videre
Du kan læse indholdet og deltage i debatten ved at logge ind eller oprette dig som ny bruger, helt gratis.
Opret brugerLog ind
7 kommentarer.  Hop til debatten

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
7
Ebbe Hansen
12. februar 2020 kl. 11:21

Jeg formoder, at Improsec og andre er godt i gang med at tjekke, om den nye løsning lever op til hvad kunderne kan forvente. Og jeg antager, at Yousee tager producentens "lappeløsning" for gode varer uden at foretage sig yderligere. Glæder mig til at høre, om BD_SVR har et formål - og i givet fald hvilket.

  • more_vert
    • insert_linkKopier link
6
Michael Cederberg
12. februar 2020 kl. 10:35

»Konkret har vi en afdeling som sikkerhedstester produkter inden de frigives til brug hos kunder. Derudover arbejdes der med trejdeparts-leverandører om at sikkerhedsteste produkterne. Når det en sjælden gang imellem lykkes eksterne analytikere at finde en sårbarhed, før vi selv gør det, arbejder vi altid målrettet sammen med dem om hurtigt at rette fejlen og levere en løsning til kunden – inden sårbarheden bliver udnyttet.«

Jeg har sjældent set så latterlig "corporate bullshit" kommunikation. Men jeg er sikker på der sidder nogen hos TDC og er rigtig stolte af ovenstående tekst som sikkert ikke er faktuel forkert men som givetvis giver det helt forkerte billede.

Det ville være interessant at blive klogere på den afdeling. Hvor mange er der ansat? Hvor mange produkter kigger de på? Hvilke metoder bruger de? Kigger de på source-koden? Hele source-koden?

I den forbindelse nytter ikke noget at lade TDC slippe afsted med historier om at de ikke kan sige mere af sikkerhedsmæssige eller konkurrencemæssige grunde. Hvis vi som kunder skal have tiltro til deres produkter så må de fortælle os hvad de gør for at vi skal tro på dem. Det er ikke anderledes end hvis man producerer mælk eller cykelslanger.

I øvrigt er min tiltro til TDC meget lille når det gælder sikkerhed. Vi har stadigvæk ikke fået nogen forklaring på hvordan nedenstående kunne ske (der er sikkert flere historier end disse to der fortjener at komme på listen). Af samme grund har jeg min egen router bag ved TDC's.

  • more_vert
    • insert_linkKopier link
5
Anders Tryka
12. februar 2020 kl. 08:45

ja, og enig Anne-Marie

  • more_vert
    • insert_linkKopier link
3
Anne-Marie Krogsbøll
12. februar 2020 kl. 08:03

Tak for svar, Anders Tryka.

at producenten valgte et 'nyt opdaterings-setup' ... altså implicit at servicen var en askey service

Nu er jeg ikke overdrevent kvik på dataområdet, så her må lige en oversættelse til. Er det noget med, at du gætter på, at man via en opdatering simpelthen har fjernet denne potentielle bagdør?

Men det kunne alligevel være meget rart med en afslutning på den del af historien fra YouSee - eller mere pålidelige kilder, såsom ImproseC.

  • more_vert
    • insert_linkKopier link
2
Anders Tryka
12. februar 2020 kl. 07:55

tænkte præcis det samme. tænker dog også, at svaret var 'nej,' og at producenten valgte et 'nyt opdaterings-setup' ... altså implicit at servicen var en askey service?

man skal ikke udelukke at arkitekten har haft dårlig humor, da han navngav servicen...

  • more_vert
    • insert_linkKopier link
1
Anne-Marie Krogsbøll
12. februar 2020 kl. 06:38

Har man fået en forklaring på 'BD_SVR' ?

  • more_vert
    • insert_linkKopier link