Nysgerrige it-sikkerhedsfolk fandt sårbarheder i Yousees hotspots

Medarbejdere hos sikkerhedsfirmaet CSIS var selv kunder hos Yousee og satte sig derfor til at teste sikkerheden i Yousees hotspot-løsning.

Yousee har kort tid efter lanceringen måttet lukke for mere end 100.000 kunders hotspots, fordi der er fundet flere sikkerhedshuller i Yousees implementering. Det har gjort det muligt at få adgang til delte filer på Yousee-kundernes netværk.

Læs også: Yousee-fejl gav eksterne brugere adgang til private filer

Sikkerhedshullerne blev fundet af et par medarbejdere hos it-sikkerhedsfirmaet CSIS, som rapporterede dem til TDC, der ejer Yousee.

»Vi havde et par medarbejdere, som selv er kunder hos Yousee, og når man arbejder med it-sikkerhed, så er man jo nysgerrig,« fortæller sikkerhedskonsulent Peter Kruse fra CSIS til Version2.

Yousee har efter en pilottest rullet hotspot-løsningen ud til selskabets bredbåndskunder. Den gør det muligt for Yousee at tilbyde kunderne, at de kan bruge et ekstra wifi-netværk på bredbåndskundernes trådløse routere til at få hotspot-adgang, når de ikke er hjemme, hvis de er i nærheden af en Yousee-router.

Løsningen er blevet rullet ud til alle Yousee-bredbåndskunder, men kunderne har mulighed for at afmelde sig tjenesten, hvis de ikke ønsker at dele deres router.

Yousee-løsningen er blevet testet, men alligevel var det ifølge Peter Kruse ikke specielt vanskeligt for sikkerhedsfolkene at finde sårbarhederne.

»Der er tale om flere typer sårbarheder, og mindst én af dem - den som også er den mest alvorlige - ville jeg forvente, at man havde fundet i et review af sikkerheden. De andre kan være lidt mere tricky at finde, men når man først har fået blod på tanden, så fortsætter man med at grave,« siger Peter Kruse.

Hverken CSIS eller Yousee ønsker på nuværende tidspunkt at afsløre de nærmere detaljer omkring, hvilke typer sikkerhedshuller der er tale om, eller hvordan de kunne udnyttes.

»Vi kontaktede TDC i sidste uge og forelagde dem dokumentationen. Vi aftalte, at vi ikke ville offentliggøre detaljer om sårbarhederne, og TDC's respons har været at lukke for al offentlig adgang til routerne,« siger Peter Kruse.

Ifølge Yousee indebar sårbarhederne, at en person udefra kunne få adgang til filer, der blev delt på det private trådløse netværk. Det kunne være delte mapper eller filer på netværkshardiske. Præcis hvordan adgangen til filerne kunne ske, har Version2 ikke kunnet få oplyst.

Allerede umiddelbart efter Yousees lancering af hotspot-tjenesten, blev løsningen kritiseret for, at det blandt andet var for besværligt at framelde sig, så man fik lukket sin forbindelse for eksterne brugere.

Læs også: Læserstorm mod åbne wifi-spots - Yousee afviser al kritik

Og inden lanceringen havde Yousee forsikret om, at det kun ville være Yousee-kunder, der kunne få adgang, og at det private netværk og det åbne hotspot ville være adskilt.

Læs også: Udstyr hos YouSee-kunder dækker snart Danmark med gigantisk wifi-net

Yousee har nu lukket for hotspot-tjenesten på alle kundernes routere, og selskabet vil først åbne for adgang igen, når sikkerhedshullerne er lukket.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Finn Christensen

Yousee-løsningen er blevet testet, men alligevel var det ifølge Peter Kruse ikke specielt vanskeligt for sikkerhedsfolkene at finde sårbarhederne.

»Der er tale om flere typer sårbarheder, og mindst én af dem - den som også er den mest alvorlige - ville jeg forvente, at man havde fundet i et review af sikkerheden...

kan Yousee og TDC nu føje til titlerne. Det koster da småpenge at lade proffer teste, før kunderne smides på.

Suk - de er virkeligt faldet af på den.. engang havde telefanten da folk, der magtede faget og opgaverne. Nu er der kun box-mover, pr-folk, sælgerne og pengefolk tilbage.

Log ind eller Opret konto for at kommentere