Nysgerrige it-sikkerhedsfolk fandt sårbarheder i Yousees hotspots

31. marts 2014 kl. 12:265
Medarbejdere hos sikkerhedsfirmaet CSIS var selv kunder hos Yousee og satte sig derfor til at teste sikkerheden i Yousees hotspot-løsning.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Yousee har kort tid efter lanceringen måttet lukke for mere end 100.000 kunders hotspots, fordi der er fundet flere sikkerhedshuller i Yousees implementering. Det har gjort det muligt at få adgang til delte filer på Yousee-kundernes netværk.

Sikkerhedshullerne blev fundet af et par medarbejdere hos it-sikkerhedsfirmaet CSIS, som rapporterede dem til TDC, der ejer Yousee.

»Vi havde et par medarbejdere, som selv er kunder hos Yousee, og når man arbejder med it-sikkerhed, så er man jo nysgerrig,« fortæller sikkerhedskonsulent Peter Kruse fra CSIS til Version2.

Yousee har efter en pilottest rullet hotspot-løsningen ud til selskabets bredbåndskunder. Den gør det muligt for Yousee at tilbyde kunderne, at de kan bruge et ekstra wifi-netværk på bredbåndskundernes trådløse routere til at få hotspot-adgang, når de ikke er hjemme, hvis de er i nærheden af en Yousee-router.

Artiklen fortsætter efter annoncen

Løsningen er blevet rullet ud til alle Yousee-bredbåndskunder, men kunderne har mulighed for at afmelde sig tjenesten, hvis de ikke ønsker at dele deres router.

Yousee-løsningen er blevet testet, men alligevel var det ifølge Peter Kruse ikke specielt vanskeligt for sikkerhedsfolkene at finde sårbarhederne.

»Der er tale om flere typer sårbarheder, og mindst én af dem - den som også er den mest alvorlige - ville jeg forvente, at man havde fundet i et review af sikkerheden. De andre kan være lidt mere tricky at finde, men når man først har fået blod på tanden, så fortsætter man med at grave,« siger Peter Kruse.

Hverken CSIS eller Yousee ønsker på nuværende tidspunkt at afsløre de nærmere detaljer omkring, hvilke typer sikkerhedshuller der er tale om, eller hvordan de kunne udnyttes.

Artiklen fortsætter efter annoncen

»Vi kontaktede TDC i sidste uge og forelagde dem dokumentationen. Vi aftalte, at vi ikke ville offentliggøre detaljer om sårbarhederne, og TDC's respons har været at lukke for al offentlig adgang til routerne,« siger Peter Kruse.

Ifølge Yousee indebar sårbarhederne, at en person udefra kunne få adgang til filer, der blev delt på det private trådløse netværk. Det kunne være delte mapper eller filer på netværkshardiske. Præcis hvordan adgangen til filerne kunne ske, har Version2 ikke kunnet få oplyst.

Allerede umiddelbart efter Yousees lancering af hotspot-tjenesten, blev løsningen kritiseret for, at det blandt andet var for besværligt at framelde sig, så man fik lukket sin forbindelse for eksterne brugere.

Og inden lanceringen havde Yousee forsikret om, at det kun ville være Yousee-kunder, der kunne få adgang, og at det private netværk og det åbne hotspot ville være adskilt.

Artiklen fortsætter efter annoncen

Yousee har nu lukket for hotspot-tjenesten på alle kundernes routere, og selskabet vil først åbne for adgang igen, når sikkerhedshullerne er lukket.

5 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
3
31. marts 2014 kl. 14:59

Når nu Yousee på den måde kan åbne op for tusinder af brugeres routere, hvad forhindre så andre i at hacke sig ind og gøre det samme? Det må da tiltrække noget opmærksomhed at det kan gøres i så stor skala.

1
31. marts 2014 kl. 13:33

Hvorfor lukker de helt af for at oplyse om de præcise flaws i systemet, når de nu har lukket helt ned for tjenesten alligevel?

5
31. marts 2014 kl. 19:05

Yousee-løsningen er blevet testet, men alligevel var det ifølge Peter Kruse ikke specielt vanskeligt for sikkerhedsfolkene at finde sårbarhederne.</p>
<p>»Der er tale om flere typer sårbarheder, og mindst én af dem - den som også er den mest alvorlige - ville jeg forvente, at man havde fundet i et review af sikkerheden...

kan Yousee og TDC nu føje til titlerne. Det koster da småpenge at lade proffer teste, før kunderne smides på.

Suk - de er virkeligt faldet af på den.. engang havde telefanten da folk, der magtede faget og opgaverne. Nu er der kun box-mover, pr-folk, sælgerne og pengefolk tilbage.

2
31. marts 2014 kl. 13:34

"CSIS vil af respekt for producenterne af det berørte udstyr, Yousee samt de mange berørte kunder, ikke frigive yderligere oplysninger på nuværende tidspunkt."

Bare rolig. Det kommer...