Yousee: Vi ville ikke skræmme kunderne

Det har ikke været en sikkerhedsrisiko, at der er gået fire måneder, før Yousee-kunder fik besked om et alvorligt sikkerhedshul, mener Yousee. Vurderingen var, at hullet ikke er blevet opdaget af hackere.

1.500 Yousee-kunder - nemlig dem, der har haft åbnet routeren op for fjernadgang - har siden i hvert fald januar været i farezonen for, at hackere ubemærket kunne få fuld adgang til routeren.

Det har Yousee vidst siden januar, da firmaet blev advaret af Stefan Milo, sikkerheds- og netværkskonsulent hos Zendata, men alligevel er det først nu, da Version2 tager sagen op, at Yousee vælger at orientere de ramte kunder.

Læs også: Yousees routere har gigantisk sikkerhedshul - fire måneder efter advarsel

Forklaringen fra Yousee er, at man ikke ville skræmme kunderne, og at man vurderede, at hullet ikke var blevet opdaget og udnyttet af hackere. Det fortæller firmaets pressechef Ib Konrad Jensen til Version2.

Skal resten af jeres kunder have besked om sikkerhedshullet?

»Nej, vi betragter fejlen som en med forholdsvis lav risiko. Det er kun relevant for dem, som bruger remote management, og vi kan se, hvem det er. Vi overvåger, om nogen af de andre kunder slår remote management til.«

Men hullet kan jo også udnyttes, hvis man er koblet på netværket, for eksempel hvis man bruger det ukrypteret.

»Ja, det skal nok passe - men hvad er fidusen ved det? Hvis man først er på indersiden af netværket, hvad behov har man så for at få adgang udefra også?«

En ting er at få adgang til internettet - men ved at udnytte fejlen kan man få fuld admin-adgang og mere til, så man for eksempel kan overvåge andres trafik på routere.

»Vores udstyr kommer med krypteret wifi som default. Skal man slå krypteringen fra, skal man have en åben konfiguration, som man selv skal bestille hos os. Jeg tror, det er relativt få abonnenter, som er så tekniske, at de åbner for konfigurationen, som samtidigt har et ukrypteret netværk.«

Hvorfor har jeres kunder først fået besked om fejlen nu, efter Version2 har ringet til jer?

»Vi har hele tiden vurderet, hvor stor risikoen er. Vi har ønsket at rulle den ny firmware ud uden at skabe stor usikkerhed hos kunderne. Og så har vi ventet på firmware fra Netgear. Der har været nogle ting, vi har ønsket at ordne samtidigt. Vi gik i gang med at udrulle en pilotudgave af firmwaren for nogle uger siden.«

»Så udrulningen af ny firmware er ikke direkte afledt af, at du ringer. Men at vi lukker for remote management hos dem, der har åbnet deres modem, sker, fordi du ringer. Når der bliver gjort opmærksom på det fejlen i offentligheden, kan det få nogle til at interessere sig for at prøve at udnytte den.«

Sikkerhedshullet kunne jo også være kendt af flere end Stefan Milo og være blevet misbrugt i det skjulte i de måneder, der er gået?

»Det er ikke vores fornemmelse eller viden, at det har været udbredt viden, at denne fejl fandtes. Det kan vi ikke vide med hundrede procents sikkerhed, men vores sikkerhedsfolk holder sig orienterede om viden i markedet. Og vi har ikke fået nogen meldinger om, at kunder har fået kompromitteret deres netværk.«

Yousee har siden hullet blev meldt ind af Stefan Milo i januar arbejdet på ny firmware til routerne, i samarbejde med producenten Netgear. Det har taget sin tid, forklarer Ib Konrad Jensen, men nu er de sidste bugs rettet i firmwaren til CG3000-routeren, der er den mest udbredte, mens der er firmware på vej til de to øvrige Netgear-routere, der er ramt af fejlen.

Først skal de 1.500 kunder med åbne routere have opdateringen, og siden følger resten af Yousees 450.000, en udrulning, der vil tage måneder.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jørgen L. Sørensen

Citat: »Ja, det skal nok passe - men hvad er fidusen ved det? Hvis man først er på indersiden af netværket, hvad behov har man så for at få adgang udefra også?«

Ville det være utænkeligt at en ubuden gæst på en inficeret pc ønsker at lave en bagdør på routeren til brug, hvis pc'en bliver renset og umiddelbart utilgængelig?

  • 0
  • 0
Robert Larsen

Hvis man først er på indersiden af netværket, hvad behov har man så for at få adgang udefra også?

Jeg tager gerne forbi dit hus og bryder ind i dit wifi...men hvis jeg derfra kan overtage dit udstyr og få det åbnet udadtil, så kan jeg efterfølgende sidde derhjemme og hakke dig videre.

Det er ikke vores fornemmelse eller viden, at det har været udbredt viden, at denne fejl fandtes.

Hvem skulle have fortalt jer det? Sorthætterne? Det ger de sgu nok ikke.

vi har ikke fået nogen meldinger om, at kunder har fået kompromitteret deres netværk.

Er det rart at vide, at det i hvert fald IKKE er jeres fortjeneste, at de ikke er blevet kompromitteret?

  • 3
  • 0
Stefan Milo

Hvis man først er på indersiden af netværket, hvad behov har man så for at få adgang udefra også?

De har misforstået kernen i problemet. Når man har adgang til routeren kan man blandt andet se administrator passwordet til routeren.

I mit eget tilfælde brugte jeg det password flere steder. Når jeg giver min wifi kode til min bror, så forventer jeg ikke at han får adgang til at se mit facebook/netbank/etc password.

  • 1
  • 0
Kasper Lund

»Vores udstyr kommer med krypteret wifi som default. Skal man slå krypteringen fra, skal man have en åben konfiguration, som man selv skal bestille hos os. Jeg tror, det er relativt få abonnenter, som er så tekniske, at de åbner for konfigurationen, som samtidigt har et ukrypteret netværk.«

Ovenstående må være en lodret løgn, eller også har hele 3 af mine foregående Netgear routers været "fucked up". Jeg oplever >>JÆVNLIGT<< derhjemme, at min router genstarter i løbet af de meget tidlige morgen timer (formodenligt for en firmware update) og for derefter at vågne, eller senere komme hjem til en netværk der står åben for FULD SMÆK. Og dette er på trods af jeg netop har kørt i bridge mode i mere end 2 år. Når jeg ringer til YouSee og beder dem om venligst at stoppe med den hjernedøde praksis - så bliver man spidste af med "det skal vi sørme nok holde stop med" for derefter at opleve præcis det samme ske igen. Pres much?

  • 2
  • 0
Mikkel Tobiasen

Kasper Lund: Helt enig om at det er en direkte løgn. Fik min anden router her inden for 2 måneder da den mistede WiFi kryptering og der sagde den intet vidende damen i røret, at den nye blot skulle stå med WiFi ukryptere og åben indtil de fik fat i den - +1 time. Fortalte hende så at jeg var totalt blotlagt i min lejlighed med mine tilsluttede enheder, men hun mente at så længe der intet internet var, ja sålænge kunne de ikke misbruge det. Det er trist at se de har folk som dem til at hjælpe og vejlede. Direkte håbløst. Så måtte disconnecte alt.

Det var dråben! Jeg køber mit eget udstyr for at sætte på og så må Yousee alene stå for modem'et. Nu har de fucket alt andet op med ulovlige regninger, gebyr, ubehøvlet support mm. De kan da umuligt fucke en så simpel ting op? ;)

  • 0
  • 0
Chris Juneau

Det var ikke en hemmelighed det fandtes - men der ingen reele penge i adgang til private kunder med mindre man specifikt går efter forretnings intel og min erfaring er at den type "kunder" sidder på en erhvervs linie alligevel. Det var en dum åben dør, at der ingen grund til at gå ind af den forsvarer det dog ikke.

  • 0
  • 0
Log ind eller Opret konto for at kommentere