Yousee: Vi ville ikke skræmme kunderne

24. maj 2013 kl. 10:447
Det har ikke været en sikkerhedsrisiko, at der er gået fire måneder, før Yousee-kunder fik besked om et alvorligt sikkerhedshul, mener Yousee. Vurderingen var, at hullet ikke er blevet opdaget af hackere.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

1.500 Yousee-kunder - nemlig dem, der har haft åbnet routeren op for fjernadgang - har siden i hvert fald januar været i farezonen for, at hackere ubemærket kunne få fuld adgang til routeren.

Det har Yousee vidst siden januar, da firmaet blev advaret af Stefan Milo, sikkerheds- og netværkskonsulent hos Zendata, men alligevel er det først nu, da Version2 tager sagen op, at Yousee vælger at orientere de ramte kunder.

Forklaringen fra Yousee er, at man ikke ville skræmme kunderne, og at man vurderede, at hullet ikke var blevet opdaget og udnyttet af hackere. Det fortæller firmaets pressechef Ib Konrad Jensen til Version2.

Skal resten af jeres kunder have besked om sikkerhedshullet?

Artiklen fortsætter efter annoncen

»Nej, vi betragter fejlen som en med forholdsvis lav risiko. Det er kun relevant for dem, som bruger remote management, og vi kan se, hvem det er. Vi overvåger, om nogen af de andre kunder slår remote management til.«

Men hullet kan jo også udnyttes, hvis man er koblet på netværket, for eksempel hvis man bruger det ukrypteret.

»Ja, det skal nok passe - men hvad er fidusen ved det? Hvis man først er på indersiden af netværket, hvad behov har man så for at få adgang udefra også?«

En ting er at få adgang til internettet - men ved at udnytte fejlen kan man få fuld admin-adgang og mere til, så man for eksempel kan overvåge andres trafik på routere.

»Vores udstyr kommer med krypteret wifi som default. Skal man slå krypteringen fra, skal man have en åben konfiguration, som man selv skal bestille hos os. Jeg tror, det er relativt få abonnenter, som er så tekniske, at de åbner for konfigurationen, som samtidigt har et ukrypteret netværk.«

Hvorfor har jeres kunder først fået besked om fejlen nu, efter Version2 har ringet til jer?

»Vi har hele tiden vurderet, hvor stor risikoen er. Vi har ønsket at rulle den ny firmware ud uden at skabe stor usikkerhed hos kunderne. Og så har vi ventet på firmware fra Netgear. Der har været nogle ting, vi har ønsket at ordne samtidigt. Vi gik i gang med at udrulle en pilotudgave af firmwaren for nogle uger siden.«

»Så udrulningen af ny firmware er ikke direkte afledt af, at du ringer. Men at vi lukker for remote management hos dem, der har åbnet deres modem, sker, fordi du ringer. Når der bliver gjort opmærksom på det fejlen i offentligheden, kan det få nogle til at interessere sig for at prøve at udnytte den.«

Sikkerhedshullet kunne jo også være kendt af flere end Stefan Milo og være blevet misbrugt i det skjulte i de måneder, der er gået?

»Det er ikke vores fornemmelse eller viden, at det har været udbredt viden, at denne fejl fandtes. Det kan vi ikke vide med hundrede procents sikkerhed, men vores sikkerhedsfolk holder sig orienterede om viden i markedet. Og vi har ikke fået nogen meldinger om, at kunder har fået kompromitteret deres netværk.«

Yousee har siden hullet blev meldt ind af Stefan Milo i januar arbejdet på ny firmware til routerne, i samarbejde med producenten Netgear. Det har taget sin tid, forklarer Ib Konrad Jensen, men nu er de sidste bugs rettet i firmwaren til CG3000-routeren, der er den mest udbredte, mens der er firmware på vej til de to øvrige Netgear-routere, der er ramt af fejlen.

Først skal de 1.500 kunder med åbne routere have opdateringen, og siden følger resten af Yousees 450.000, en udrulning, der vil tage måneder.

7 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
7
25. maj 2013 kl. 14:21

Det var ikke en hemmelighed det fandtes - men der ingen reele penge i adgang til private kunder med mindre man specifikt går efter forretnings intel og min erfaring er at den type "kunder" sidder på en erhvervs linie alligevel. Det var en dum åben dør, at der ingen grund til at gå ind af den forsvarer det dog ikke.

6
24. maj 2013 kl. 20:09

Kasper Lund: Helt enig om at det er en direkte løgn. Fik min anden router her inden for 2 måneder da den mistede WiFi kryptering og der sagde den intet vidende damen i røret, at den nye blot skulle stå med WiFi ukryptere og åben indtil de fik fat i den - +1 time. Fortalte hende så at jeg var totalt blotlagt i min lejlighed med mine tilsluttede enheder, men hun mente at så længe der intet internet var, ja sålænge kunne de ikke misbruge det. Det er trist at se de har folk som dem til at hjælpe og vejlede. Direkte håbløst. Så måtte disconnecte alt.

Det var dråben! Jeg køber mit eget udstyr for at sætte på og så må Yousee alene stå for modem'et. Nu har de fucket alt andet op med ulovlige regninger, gebyr, ubehøvlet support mm. De kan da umuligt fucke en så simpel ting op? ;)

5
24. maj 2013 kl. 12:57

»Vores udstyr kommer med krypteret wifi som default. Skal man slå krypteringen fra, skal man have en åben konfiguration, som man selv skal bestille hos os. Jeg tror, det er relativt få abonnenter, som er så tekniske, at de åbner for konfigurationen, som samtidigt har et ukrypteret netværk.«

Ovenstående må være en lodret løgn, eller også har hele 3 af mine foregående Netgear routers været "fucked up". Jeg oplever >>JÆVNLIGT<< derhjemme, at min router genstarter i løbet af de meget tidlige morgen timer (formodenligt for en firmware update) og for derefter at vågne, eller senere komme hjem til en netværk der står åben for FULD SMÆK. Og dette er på trods af jeg netop har kørt i bridge mode i mere end 2 år. Når jeg ringer til YouSee og beder dem om venligst at stoppe med den hjernedøde praksis - så bliver man spidste af med "det skal vi sørme nok holde stop med" for derefter at opleve præcis det samme ske igen. Pres much?

3
24. maj 2013 kl. 11:28

Hvis man først er på indersiden af netværket, hvad behov har man så for at få adgang udefra også?

De har misforstået kernen i problemet. Når man har adgang til routeren kan man blandt andet se administrator passwordet til routeren.

I mit eget tilfælde brugte jeg det password flere steder. Når jeg giver min wifi kode til min bror, så forventer jeg ikke at han får adgang til at se mit facebook/netbank/etc password.

2
24. maj 2013 kl. 11:28

Hvis man først er på indersiden af netværket, hvad behov har man så for at få adgang udefra også?

Jeg tager gerne forbi dit hus og bryder ind i dit wifi...men hvis jeg derfra kan overtage dit udstyr og få det åbnet udadtil, så kan jeg efterfølgende sidde derhjemme og hakke dig videre.

Det er ikke vores fornemmelse eller viden, at det har været udbredt viden, at denne fejl fandtes.

Hvem skulle have fortalt jer det? Sorthætterne? Det ger de sgu nok ikke.

vi har ikke fået nogen meldinger om, at kunder har fået kompromitteret deres netværk.

Er det rart at vide, at det i hvert fald IKKE er jeres fortjeneste, at de ikke er blevet kompromitteret?

1
24. maj 2013 kl. 11:26

Citat: »Ja, det skal nok passe - men hvad er fidusen ved det? Hvis man først er på indersiden af netværket, hvad behov har man så for at få adgang udefra også?«

Ville det være utænkeligt at en ubuden gæst på en inficeret pc ønsker at lave en bagdør på routeren til brug, hvis pc'en bliver renset og umiddelbart utilgængelig?