Yousee-fejl gav eksterne brugere adgang til private filer

Udefrakommende brugere kunne få adgang til delte filer på det private lukkede netværk som følge af softwarefejl i Yousees produkt, hvor hardwaren hos kunder får åbnet et ekstra wifi-hotspot, som alle kan koble på.

Hvad der godt kunne kandidere til det værst tænkelige scenarie, ser ud til at være blevet en realitet i Yousees store wifi-sats, hvor hardware hos kunderne får åbnet et ekstra opkoblingspunkt, som andre Yousee-kunder kan bruge til at få internetforbindelse, når de er i nærheden.

Dørene mellem de to opkoblingspunkter, SSID'er, skulle - i sagens natur - være hermetisk lukkede, så de brugere, der kobler på det eksterne og åbne SSID ikke kan tilgå data på det private net hos kunden, hvor udstyret står. Men det har tilsyneladende ikke været tilfældet.

Pressechef hos TDC, der ejer Yousee, Ib Konrad Jensen oplyser til Version2, at det under bestemte omstændigheder har været muligt for brugere af det eksterne SSID at tilgå filer på det private net. Eksempelvis hvis der har været delte mapper eller en netværksharddisk på netværket.

»Der er en risiko for, at man kan få adgang til delte filer på tværs af nettene,« siger han og fortæller, at han ikke kan uddybe, hvori den præcise sårbarhed består, andet end det relaterer sig til 'nogle bestemte omstændigheder'.

Læs også: YouSee lukker for hotspots på grund af sikkerhedshul

Yousee har som konskvens af sikkerhedsbristen lukket helt ned for det åbne wifi-hotspot i udstyret hos kunderne. Det er sket ved at opdatere en konfigurationsfil.

Ib Konrad Jensen oplyser, at Yousee ikke har kendskab til, at hullet er blevet udnyttet til at tilgå andres data.

En sådan uretmæssig adgang vil dog ikke nødvendigvis blive opdaget af den, det går ud over.

Yousees hotspot-produkt fungerer ved, at alle kunder i udgangspunktet, og hvis deres udstyr ellers understøtter det, har fået åbnet en ekstra trådløs forbindelse, som andre kan koble på. Det er altså ikke noget, folk har skullet tilvælge, men noget, de dog kan fravælge.

Det berørte udstyr er Netgear CG3000, CG3700 og Cisco EPC3925. Yousee er i kontakt med Netgear og Cisco for at få løst problemet. I den forbindelse vil Yousee også se på, hvad der kunne være et andet problem, og om det kan løses i forbindelse med en softwareopdatering.

»Vi har fået en tilbagemelding fra enkelte kunder, der har sagt, at deres bredbåndshastighed er gået ned i forbindelse med, at det her er blevet implementeret på deres router,« siger Ib Konrad Jensen og tilføjer, at Yousee endnu ikke kan sige, om bredbåndsproblemerne, kunderne melder om, er relateret til softwareopgraderingen og dermed også kan løses softwaremæssigt.

Ib Konrad Jensen fortæller, at Yousee har planer om at åbne op for wifi-hotspottene igen, når problemet er løst, han kan dog ikke sige, hvornår det er.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (27)
Ulrik Schmidt

Da jeg læste denne artikel (http://www.version2.dk/artikel/udstyr-hos-yousee-kunder-daekker-snart-da...) og selv er kunde hos YouSee, meldte jeg mig øjeblikkeligt fra. Mit modem nåede dog at være aktivt wifi-hotspot i et døgn. Alt sagde mig, at der med stor sandsynlighed ville opstår sikkerhedsproblemer af en eller anden art. Den slags er vanen tro aldrig gennemtestet trods store forsikringer om, at man kan være helt tryg ved det. Det er fandeme amatøragtigt!

Søren Rosiak

Simpelthen til grin.
Afmeldte allerede denne service allerede da de annoncerede den.
Modtog intet svar.

Ringede til kundeservice efterfølgende, hvor de så kunne hjælpe mig.
De nævnte at der nok lige skulle gå en dag, der skete stadig INTET.
I mellemtiden modtog jeg et brev hvori der stod at servicen var blevet afmeldt.

Status er pt. at deres Hot-Spot STADIG er aktivt på min router, selvom de i nat har fremsendt omtalte mail.

TIL GRIN..

Morten Claré

Samme setup hjemme hos mig...
Meldte mig også fra i det øjeblik jeg så deres reklame mail i min indbakke. Selvom min CG3000 kører i bridged-mode skulle det bare væk!
Jeg er desværre ikke overrasket over at de har sikkerhedsproblemer, men synes det er svært utilfredsstillende at det er CSIS der skulle finde fejlen, og ikke YouSee, netgear eller Cisco.
"Ups, det troede vi altså ikke kunne ske" bliver nok sagt på "krisemødet" på direktionsgangen hos YouSee lige nu :)

Erik Bruus

Som der skrives længere oppe:

Jeg er glad for at jeg kun har et kabelmodem og ikke en router :-)

Ja det er jeg også glad for, lige indtil den dag, hvor posten pludselig har en pakke til dig med et nyt modem med router og wifi. Det skete ude hos en ven. Han skulle pludselig skifte uden forvarsel. Han boede måske i et område hvor "SeeYou" havde brug for et wifi spot. Han har kun fået en søforklaring på hvorfor han skulle skifte. Han har ikke bestilt noget nyt. Det er absolut ikke i orden. mvh, Erik.

Lars Sommer

Det indleder en ny interessant diskussion, når udbyderen kan tilgå og konfigurere udstyr hos slutbrugeren;
Hvor er det dit netværk og hvor er det ISP'ens?

Hvor skal din firewall og dit wifi stå henne i kæden, når kassen fra ISP'en tilsyneladende er åben for omverdenen?

PS: Jeg fik en tilsvarende pakke fra min fiberudbyder for nogle måneder siden, med router og wifi og ip-telefon og backdoors i. Jeg har dog ikke sat udstyret til endnu, og mit fibermodem spiller stadig fint..

Johan Cardel

Har lige fået mulighed for at bestille fiber via Waoo/NRGi, endeligt, så nu ryger yousee ud igen, de er sku nogen kegler.
Det er nu bestilt, og dette nyheds indlæg var faktisk indirekte årsag :)

Har dog ønsket mig fiber herhjemme længe, ligesom så mange andre danskere.

De har ikke haft mit SeeYou aktiveret, men fik et brev om at de havde tænkt sig at gøre det. Kunne vel bare prøve på at melde mig fra, men helt ærligt. Håber det giver bagslag til dem, og at folk så har et ok alternativ.

Albert Nielsen

Citat: "... at det under bestemte omstændigheder har været muligt for brugere af det eksterne SSID at tilgå filer på det private net. Eksempelvis hvis der har været delte mapper eller en netværksharddisk på netværket."

Eksempelvis "netværksharddisk" lyder da allerede uhyggeligt, nemlig adgang til alle virksomhedens ikke-krypterede data, såsom korrespondance, tilbud, fakturaer, ...

Eksempelvis hvad mere?

Citat: »Der er en risiko for, at man kan få adgang til delte filer på tværs af nettene,« ..."

Nåh, det har i virkeligheden ikke været muligt, der er kun en risiko?

Men, men, men, vi har da lige fået at vide, at det "har været muligt for brugere af det eksterne SSID at tilgå filer på det private net". Altså ikke blot en risiko, men sikkerhed for at det kunne forekomme.

Den slags kaldes væselsprog. Eller Tale udenom. Svare på noget andet, end det der spørges om. osv.

Desuden har vi fået at vide at der har været "Læserstorm mod åbne wifi-spots". Men Yousee afviste al kritik. "Der er ikke noget at komme efter, lyder svaret i store træk fra Yousee." http://www.version2.dk/artikel/laeserstorm-mod-aabne-wifi-spots-yousee-a...

Yousee tager det altså ganske roligt, at brugere af det eksterne SSID kan tilgå delte mapper eller en netværksharddisk på kundernes private netværk.

Johan Cardel

Citat: "... at det under bestemte omstændigheder har været muligt for brugere af det eksterne SSID at tilgå filer på det private net. Eksempelvis hvis der har været delte mapper eller en netværksharddisk på netværket."

Netop, og hvem har ikke delte filer på sit netværk?? Det vil sige at den omstændighed ret sikkert er til stede mange steder, inklusive hjemme hos mig. Jeg har en synology NAS med dlna aktiveret, så udefrakommende ihvertfald kan tilgå mine film/serier og musik. resten er beskyttet af passwords, men hvor sikkert er det lige i længden.

Det stinker!

Kim Bygum

Jeg havde et pivåbent, ukrypteret hotspot, så man umiddelbart kunne komme på. Det gav straks fuld adgang til alle enheder på netværket, inkl. webcam og printer. Internettet var også fuldt tilgængeligt, og IP adressen var den samme som min.

Jeg havde afmeldt hotspot umiddelbart da jeg fik en mail, men det havde åbenbart ingen effekt. Sidst i sidste uge fik jeg godt nok besked om at der var lukket, men det var åbenbart "ukorrekt"! Selv i dag var der stadig åbent, og de kunne ikke forstå det inde hos YS.

Tilsyneladende skal der en total reset til, med ny opsætning forfra. Tak for et par timers arbejde, YS. Reset med efterfølgende restore af backup virkede ikke.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017