TDC suger folks selvvalgte wifi-kodeord ud af routere og gemmer dem i klartekst

Gad vide, hvad bødetaksten for at "miste" ½ mio. brugeridenter med tilhørende passwords vil være i 2018, når de nye EU-regler for beskyttelse af personoplysninger slår igennem?

Det er jo sket før, at systemer har kunnet hackes, både indefra og udefra.

Hvis adgangen til passwords m.m. skyldes et behov for at ville yde service til kunderne, hvorfor så ikke blot automatisere gennemtvingelsen af et passwordskifte? Akkurat som det sker i andre virksomheder..

Det er måske derfor, de har så travlt i helpdesk'en hos TDC/YouSee. Det tager i hvert fald laaang tid at komme igennem :-)

Jeg kan som systemudvikler kun anbefale at man sikre sig mod tyveri fra fx. internet udbyder, statten, PET eller andre sikre sit net med en ekstra router fra fx. Cisco og husker at sætte den firewall ordentlig op. De koster ikke mere end at det er prisen værd for at holde internet udbyderes, stattens eller PET's fingre ude af DIT net.

Undre vel ikke nogle at de gør det?

Alle div udbyder jeg har haft, har jeg altid smidt udbyderens udstyr i bridge mode, og så haft mit eget udstyr bagpå. Har oplevet engang i middelfart med fiber at deres udstyr var så låst at bridge mode muligheden var fjernet helt. Valgte at deaktivere hvad jeg kunne også smide mit eget på via DMZ mode. Yousee kørte på et tidspunkt med muligheden for at få en open config til deres routers så man kunne smide den i bridge og den ikke ville blive 0 stillet hvergang de gjorde et eller andet.

Har kviknet nu og der valgte jeg deres modem, da jeg så ikke skulle tænke på at risikere at få en bambus router hvor man ikke kunne få lov til noget af hensyn til hr og fru danmark. HAr været pænt tilfreds med Kviknet end til videre. Fik en bedre latency ved at gå fra Telenor til kviknet, (hvilket er mig en gåde da det er samme kobberlinje) men nok bare telenors bambus skrald af en router der var problemet.

Apopro Kviknet. Yoel Caspersen

Mit eneste utilfredshed ved jer lige pt er i endnu ikke har fået åbnet op for det coax net. Har endda en Netgear C6250EMR sat til og klar så skal ikke engang have tilsendt udstyr (eller regner jeg ikke med da det er fra dengang jeg havde yousee for et års tid siden i Rødovre) Når jeg ved jeg kan få en 100Mbit til en fornuftig pris andre steder, så vil jeg have en 100Mbit, og ikke en sølle 30Mbit som jeg maks kan få nu. Har haft 35/35 fiber da andre havde en 10mbit. havde 60/60 fiber da andre begyndte at få 20mbit og en 100/100 fiber da folk begyndte at få 60Mbit via coax. og da jeg boede på Sjælland 100/20. Så at ryge ned på en 30Mbit vdsl linje fordi jeg er endt på landet på fyn er for mig som at blive smidt tilbage til starten af årtusinde skiftet ;)

Så der må meget gerne snart ske noget hos jer. For jeg er ikke mere loyal end jeg skifter efter behov :)

I analogiens verden svarer det til, at din låsesmed har en kopi af din nøgle til hoveddøren, hvis du nu skulle finde på at smide din nøgle væk efter en tur i byen fredag aften. Medarbejdere hos låsesmeden har selvfølgelig adgang til nøglen - det er klart.

Utroligt at det overhovedet kan forekomme og at TDC prøver at camouflere og kategorisere dette som kundeservice. Tag jer sammen.

De har altid optrådt råddent og nedværdigende overfor kunderne. gamle monopol vaner er ikke sådan at ændre.

...at der skulle være et krav til ISP'ere om at altid have mulighed for at vælge et simpelt x-dsl "modem" til løsningen... også ved komplekse løsninger, så skal "modemet" bare være med flere porte. I øvrigt leveres erhvervsløsninger med "modem" og ikke med router.

Brænd i helvede, DOCSIS.

»Vi ligger inde med både SSID og Wifi-kodeord. Årsagen er, at vi gerne vil kunne hjælpe vores kunder fra fjernt hold. Det er en meget almindelig problemstilling, at en kunde har glemt sit kodeord. Dataene er beskyttet, og det vil kræve, medarbejderen logger ind for at tilgå disse data, hvilket også betyder, at det bliver logget. Man kan med andre ord se, hvem der har været inde for at se på kundens oplysninger,« oplyser kommunikationsrådgiver hos TDC, Povl Damstedt Rasmussen via mail.

Jamen jeg kan slet ikke få luft af begejstring for den sikkerhed! (ironi kan forekomme).

Det kræver jo, at jeg opdager, at mine data er blevet misbrugt eller at der er nogen der har været inde og snage OG at jeg får den tanke, at det kan skyldes en TDC-medarbejders ulovlige omgang med fortrolige data.

Der er jo ingen der kigger i de logs og tjekker om formålet med opslaget har været legitimt.

SUK!

Den generation af IS-leder, der mener, at denne praksis er i overensstemmelse med god praksis, må da snart være gået på pension. Hold nu op med det pjat.
(informationssikkerheds)

Tak for svar, Dave.

Hej Anne-Marie Krogsbøll

mener du så, at man slet ikke skal oplyse ovennævnte, fordi folk ikke læser dem?

Håber i alle får en snarlig og skøn weekend !

Så er den gal igen. Jeg må sige, at jeg desværre ikke er specielt overrasket.

Den generation af IS-leder, der mener, at denne praksis er i overensstemmelse med god praksis, må da snart være gået på pension. Hold nu op med det pjat. (informationssikkerheds)

"Den adgang bliver... blandt andet brugt til at hive kodeord på wifi-forbindelser ud...... Også de kodeord, folk selv har valgt."

Blandt andet? Trækker de andre kodeord ud? fx router administrator kode, og hvordan kan de servicer routeren når jeg har slået remote access fra ':-)?

( ':-) forsøg på løftet-øjenbryns-smiley)

»Vi ligger inde med både SSID og Wifi-kodeord. Årsagen er, at vi gerne vil kunne hjælpe vores kunder fra fjernt hold. Det er en meget almindelig problemstilling, at en kunde har glemt sit kodeord. Dataene er beskyttet, og det vil kræve, medarbejderen logger ind for at tilgå disse data, hvilket også betyder, at det bliver logget. Man kan med andre ord se, hvem der har været inde for at se på kundens oplysninger,« oplyser kommunikationsrådgiver hos TDC, Povl Damstedt Rasmussen via mail.

Jeg vil godt stille et stor fedt spørgsmålstegn ved både sikkerheden omkring opbevaring, og sporbarhed i forbindelse med login. Nets har ikke styr på logning i forhold til kreditkorts look-up, SKAT kan ikke sporer, hvem der har læst Helle Thonings skatte papirer........ Jeg tvivler meget på, at TDC har tilstrækkelig sporbarhed i forhold adgangen til kunders data. Desuden, når først data er læst, så kan den vel eksporteres på den ene eller anden måde. Det er der jo INGEN kontrol med, i sidste ende.

Vi formoder her, at vi kan stole på de personer, som sidder i supporten, al respekt for de mennesker, der sidder i supporten; men hvordan er de udvalgt, og hvilke kontrol og træning gennemgår de i forbindelse med deres ansættelsesforløb?

Det her er misforstået kundeservice. Der er tale om, at man gør kunderne en bjørnetjeneste - Bjørneservice :-).

God weekend

Fibia kan slå TDC på det punk!

Fibia vælger også at skrive at de ikke gider sikre kommunikationen med SSL.. super flot.

Jeg har kendskab til en leverandør af infrastruktur til antenneforeninger som benytter en standard konfiguration der gør samtlige af deres kunders trådløse netværk usikre. Jeg har oplyst både leverandøren samt min egen udbyder (som benytter den omtalte leverandør) om dette, men det preller af og jeg fik indtrykket af at det var mere en ubelejlighed at jeg gjorde dem opmærksom på det.

Tilgengæld har jeg gratis wifi i det meste af byen og diverse andre steder i landet, eftersom de ikke gider gøre noget ved det :P

Det er efterhånden ved at være træls at det ikke har nogen konsekvenser når der sløses med sikkerheden på denne måde. Gør man dem opmærksomme på problemerne så risikerer man at få en politisag på nakken, som vi jo desværre har hørt historier om allerede..

Jeg har sat min egen router op og formået at få TDC til at acceptere denne, så jeg er fri for at bruge strøm til en ubrugelig router. Samtidig har jeg opnået en løsning, som har en langt større anvendelighed....og så skifter jeg snar til en anden udbyder med langt større båndbredde til samme pris :-)

https://www.shodan.io/search?query=200+org%3A%22Fullrate+DK%22

Tænk på hvor tit nogen, virkeligt læser "license agreement" "Privacy policy" og lignende, langt de fleste trykker bare "godkend"/"I agree" og hastigt videre !

mener du så, at man slet ikke skal oplyse ovennævnte, fordi folk ikke læser dem?

I øvrigt: Det skal være let tilgængeligt - og jeg tror faktisk, at en del vil undre sig over, at deres udbyder har deres password. Og det skal selvfølgelig på let tilgængelig vis også oplyses, hvordan man slår det fra.

Men det bedste er selvfølgelig, at det i stedet var noget, man aktivt meldte til. jeg forstår ikke, at det andet er lovligt.

Og oplyser de kunderne om dette - på letforståelig måde, også for IT-ukyndige?

Det gør YouSee også som standard. Havde sat hjemmenetværk op for en bekendt hvor det så dagen efter blev overskrevet med YouSee's indstillinger til navn og kodeord. Først efter en længere og knapt så køn samtale med en kundeservice medarbejder slog de denne "feature" fra, og jeg kunne så sætte det op igen.

Det hele handler om antallet af superbrugere vs. ikke teknisk kyndige brugere.

Der er bare rigtig få superbrugere i forhold til det andet segment. Og det andet segment består overvejende af brugere, der mener at internetudbyderen samtidig overtager ansvaret for deres computer og i visse tilfælde også deres økonomi.

Internetudbyderen vælger så bare den letteste vej - og det er at køre standardopsætning på alle routere, rulle software updates ud automatisk (for det gør almindelige brugere ikke selv) og nulstille konfigurationen med jævne mellemrum. Det handler ikke om at snage på brugerne, det handler udelukkende om at mindske supportbyrden, for den koster penge, både i direkte tidsforbrug og i støj på sociale medier.

Balancen for internetudbyderen er at identificere, hvornår man har at gøre med en superbruger, der gerne "vil selv", og hvornår man har at gøre med en almindelig kunde, der ikke gider beskæftige sig med sikkerhed eller teknik.

Hos Kviknet er udgangspunktet, at default-installationen er sikker mod trusler udefra - vi ruller også config og software updates ud. Men har vi at gøre med en superbruger, anbefaler vi som regel en modem-løsning, da den giver mest kontrol tilbage til brugeren.

Hvis internetudbyderen partout skal kende password på wifi, bør det være en envejs-ting, dvs. et tilfældigt password som rulles ud på boksen fra internetudbyderens provisioneringssystem. Hvis kunden efterfølgende vælger at ændre passwordet, bør internetudbyderen ikke længere have adgang til dette - for worst case er det også et password, kunden bruger til alle mulige andre formål, selv om det er en dårlig ide til at starte med.

Derudover er det jo også en kendt sag at rigtig mange ISP'er og helt sikkert TDC, Yousee og Fullrate flasher disse devices med custom firmware, således de har bedre muligheder for at opretholde et 'foothold' på disse devices.

Dog skal det siges at såfremt man slår remote management fra på Yousee og fullrate devices, så kan deres 'alm' support ikke længere logge ind, ligeledes virker deres 'autoupdate password' fra hjemmesiden heller ikke længere.

Til gengæld kan man ikke selv sætte en kode, da Fibia overskriver konfigurationen i routeren en gang i døgnet med den de har i deres system. Tvangs-ingen-sikkerhed ftw!

Det gør YouSee også som standard. Havde sat hjemmenetværk op for en bekendt hvor det så dagen efter blev overskrevet med YouSee's indstillinger til navn og kodeord. Først efter en længere og knapt så køn samtale med en kundeservice medarbejder slog de denne "feature" fra, og jeg kunne så sætte det op igen.

Det er da ligefrem genialt!

Nu har Fibia tilfældigvis en Facebookprofil, hvor folk ind imellem øjensynligt skriver deres installationsnummer for at få hjælp. Deres adresse kan sikkert findes på De Gule Sider. Så er det bare at vente på at vedkommende tager på ferie...

...undrer det mig, at det lovligt (hvis det er det) at hente og gemme folks passwords i al hemmelighed. Hvorfor er det ikke at sidestille med indbrud?

Og oplyser de kunderne om dette - på letforståelig måde, også for IT-ukyndige?

Og får man et valg - kan man sige nej tak til denne "kundeservice"?

Verden er af lave....

Fibia kan slå TDC på det punk!http://www.fibia.dk/privat/subsites/infosider/bestil-nyt-netvaerksnavn/

(bemærk kravene til koden!)

De sender iøvrigt også både SSID og koden i emails til kunderne. - Så de må vel også opbevare dem i klartekst for at kunne det.

Til gengæld kan man ikke selv sætte en kode, da Fibia overskriver konfigurationen i routeren en gang i døgnet med den de har i deres system. Tvangs-ingen-sikkerhed ftw!

Opdagede iøvrigt for nyligt, at min brors Fullrate modem/router, havde åbnet for adgang til service hjemmesiden på WAN. Fint login vindue, admin / psw. Auch..! Fik lukket det med det samme :-)

P.S. Hos Kviknet henter vi ikke kundernes passwords. Giver det en dårligere service? Måske, men så kan man jo heldigvis bare resette sin router, og så står passwordet på bagsiden af den.

Bare rolig, en dag når I er store nok så står der en herre med overfrakke og solbriller go siger de godt lige vil deltage lidt på Jeres net, og vil I ikke ... kommer der alle mulige problemer, og brokker du dig her på version 2, så bliver du halet ind til en snak om statens sikkerhed, vil selvfølgelige støtte dig morals.....

Nå men i mit liv starter vores net først efter routeren fra udbyderen, med egen firewall og eget trådløst net, så jeg gider ikke at rette password nogen steder. Så kan udbyderen også rette alt det kan gider i min router hvis der er noget der pludseligt skal være smartere. Forresten har vi slet ikke nogen kode på det trådløse net, det er dog adskilt fra resten af husets net, det er nemmere når man har gæster, og så bor vi så lang uden på landet, at det kun er en enkelt nabo der kan nå nettet, og han må gerne bruge vores net, hvilket han har gjorde da nogle gravefolk med en potent rendegraver pludselig gravede både vandledning (det så skægt ud) og kabler til hans hus over ;-)

..Bliver jeg bare endnu mere glad for at jeg fik byttet min TDC router til et 'dumt' VDSL modem, så setuppet nu er: Modem->pfSense->Wifi Access Point. Jeg VIL bare IKKE have bagdøre (uden min kontrol) ind i mit netværk. End of story. Mit umiddelbare success kriterie er at grc.com/shieldsup melder grønne lamper og at en nmap på min IP ikke hejser nogle flag. :-)

pfSense - opdaterede iøvrigt til 2.3.1_1 igår, forløb helt problemfrit, selv for en 'glad amatør og hjemmekoder'..

Så jeg kan ikke se et behov for at ISP’en opbevarer de oplysninger og mener heller ikke at det har noget med at kunne yde bedre kundeservice at gøre.

Det eneste denne procedure kan bidrage til, er at svække sikkerheden fordi det eneste jeg behøver at vide at en bestemt adresse er TDC kunde, så kan jeg ringe til TDC og udgive mig for at være kunden.

Og måske ikke en gang når politiets aktionsstyrke sparker døren hos en sagesløs TDC kunde, vil nogle opdage at det var mig som var den skyldige.

Derudover er det lidt tankevækkende at netop TDC som går så langt med at logge deres kunder, har en sådan ladeport i sikkerheden, men det skyldes måske at det jo ikke er TDC som aktionsstyrken sparker døren ind hos.

Det er jo egentlig ikke så skidt når det kommer til stykket.

Når rettighedsmafiaen og fogedretten kommer for at sparke døren ind, henviser man bare til, at enhver kan få oplyst wifi-koden ved at ringe til TDC's kundeservice og oplyse adressen ;-)

P.S. Hos Kviknet henter vi ikke kundernes passwords. Giver det en dårligere service? Måske, men så kan man jo heldigvis bare resette sin router, og så står passwordet på bagsiden af den.

Det er da en enormt dårlig undskyldning at de skal kunne hjælpe folk hvis de glemmer deres adgangskode...

Der er jo en reset knap for det samme...

Nu er jeg i hvert fald ekstra glad for at jeg har sat min egen router op, og at jeg har brugt så lang tid på at oprette forskellige brugere og grupper på min nas

Lad mig starte med at skrive, sådan har været i adskillige år, sikkert også før Fullrate blev en del af denne verden, hvis jeg husker rigtigt blev det også oplyst i tidernes morgen, men kan ikke huske hvordan ! Er der andre måder at komme ind i en router på, i f.eks support/config sammenhænge end med SSID og password ?

Jeg syntes ikke at det er en god måde at gøre tingene på, og set med mine øjne er det beskrevne sikkerheds niveauet lavt, og mange brugere vil ikke være i stand til at blive guidet over tlf plus (TDC har squ ikke tid til at bruge længere tid på at skulle guide brugere til at løse problemerne, næh nej, modtag kunde nr og fejlmelding bla pr tlf, check, løs, ud af døren, næste !) super service og kundepleje som altid Bahh !

Sikkerhed koster og der er ikke mange der vil betale prisen før lokummet er brændt ned !

BTW hvordan er det med at "ukendt" kriminel med adgang til fremmeds wifi, sender og modtager alt muligt i alle mulige sammenhænge, og trafikken spores til stjålet SSID og password. Er det så ejeren af SSID og password der får regningen eller lukket sin forbindelse ? Eller er det muligt at ejeren slipper, for hvordan i alverden skulle ejeren dog på nogen vide/finde ud af at sådan noget skete på ejerens wifi ?

Jeg har oplevet at jeg, ved kun at give min adresse, fik først mit WiFi kodeord af support og dernæst kodeordet til admin-interfacet.

Af denne grund har jeg degraderet den router jeg har fået fra Yousee til moden, og sat en anden router bagved, som jeg selv har kontrollen over. Har også anbefalet en del andre at gøre det samme.

Selv bruger jeg en Linux server som router, og det har yderligere givet den bonus, at internet forbindelsen virker hurtigere, specielt efter lidt tid. Det er som om at det udstyr der kommer fra Yousee er en smule underdimensioneret, og ofte skal genstartes for at opretholde en ordentlig ydelse. Dette oplever jeg ikke hvis jeg kun bruger deres router som modem.