Yousees routere har gigantisk sikkerhedshul - fire måneder efter advarsel

En sikkerhedsbrøler i firmwaren på Yousees routere fra Netgear kan give hackere fuld adgang. Yousee blev advaret i januar, men fortæller først de ramte kunder om det nu.

Foto: Torkil Adsersen
Lyt til artiklen

Vil du lytte videre?

Få et Digital Plus-abonnement og lyt videre med det samme.

Skift abonnement

Med Digital Plus kan du lytte til artikler. Du får adgang med det samme.

Har du internet via Yousees kabel-tv, har du sandsynligvis en router stående fra producenten Netgear med et alvorligt sikkerhedshul indbygget.

Det fortæller Stefan Milo, der opdagede problemet ved en tilfældighed, da han sikkerhedstestede et netværk hos en kunde. Han skrev til Yousee om sårbarheden med det samme, men fire måneder efter er hullet stadig ikke lukket. Derfor går han nu til Version2 for at advare mere bredt om problemet.

»Det er et alvorligt sikkerhedshul, som kan give en hacker fuld adgang til din router, hvis du har åbnet for remote management, hvis en hacker har adgang til det kablede eller trådløse netværk i routeren. Nu går jeg til pressen med det for at beskytte Yousees kunder,« siger Stefan Milo, der arbejder med netværk og sikkerhed hos Zendata.

Han har demonstreret sårbarheden for Version2, og kender man konceptet bag, er det en nem fejl at udnytte hos dem, der har åbnet for fjernadgang til routeren.

»En hacker kan få fuld adgang til routeren, og kan se mit admin-password. Han kan overvåge min trafik, oprette nye SSID’er, redirecte min trafik, så jeg bliver sendt over til en falsk netbank og så videre. Det åbner for identitetstyveri og meget andet,« siger Stefan Milo til Version2.

Men hos Yousee hæfter man sig ved, at hullet primært kan udnyttes blandt dem, der har åbnet routeren for remote management. Det er ’en forsvindende lille del’, siger Yousee - mere præcist er det knap 1.500 danskere ud af 450.000 Yousee-kunder, der har været ramt.

»Det er kun relevant for dem, som bruger remote management, og det er de mest aktive kunder med en vis teknisk indsigt. Langt de fleste af vores kunder bruger default-opsætning, som vi administrerer,« siger Yousees pressechef Ib Konrad Jensen til Version2.

At det skulle tage fire måneder, før man blev klar til at skifte den hullede firmware, forklarer firmaet med, at det har taget noget tid at nå frem til den rette løsning sammen med Netgear. Flere versioner er blevet sendt frem og tilbage, for at få rettet nogle bugs. Desuden vil Yousee også gerne have et par andre ting ordnet i samme ombæring, når der nu alligevel skal ny firmware ud.

»Det har været en langvarig proces. Hvis det nu havde været Nationalbanken, som var truet, var det nok gået hurtigere,« siger Ib Konrad Jensen.

Version2 kontaktede Yousee fredag den 17. maj, som meddelte, at man snart er klar til at rulle en opdatering ud - fire måneder efter, at fejlen blev meldt ind af Stefan Milo. Tirsdag morgen efter pinseferien sendte Yousee en sms-besked ud til de 1.500 kunder med åbne routere om problemet og lukkede samtidigt pr. fjernbetjening for fjernadgangen til routeren.

Det skete specifikt på grund af Version2’s varslede historie om sikkerhedshullet, for planen var ellers at holde lav profil, i hvert fald indtil firmwaren var sendt ud.

I løbet af denne uge og næste uge vil ny firmware blive rullet ud til de kunder, som Yousee kan se har haft aktiveret remote management. Derefter følger så resten af Yousees 450.000 kunder, men det tager flere måneder at udskifte firmware på så mange routere, forklarer Ib Konrad Jensen.

Stefan Milo er efter en positiv oplevelse med Yousee i begyndelsen af forløbet ikke længere særlig begejstret for firmaets håndtering af sagen.

»Problemet er, at der ikke sker noget. Det er bare ikke i orden. Jeg er enig i, at det er meget få brugere, som er ramt, men jeg havde fejlen, fordi jeg har brugt remote management. Det skal bare gå ud over én kunde, før det er kritisk,« siger han.

Det password, han brugte på sin router, blev også brugt andre steder - så hvis hackere har kendt til sikkerhedshullet, kan de have brugt hans password, uden han ved noget om det. Det samme gælder alle de andre, som har åbne routere.

»Jeg mener, det er forkert af dem, at de ikke med det samme fortæller brugerne, at der har været en sikkerhedsbrist. Hvis et af dine passwords har været kompromitteret, og fejlen så bliver rettet i stilhed, så er dit password stadig kompromitteret. Det er forkert at prøve at tie det ihjel,« mener sikkerhedskonsulenten.

Hos Yousee har man vurderet, at det var bedst ikke at fortælle noget - altså indtil Version2 henvendte sig.

»Vi har hele tiden løbende vurderet, hvor stor risikoen er. Vi har ønsket at rulle den ny firmware ud uden at skabe stor usikkerhed hos kunderne. Det er ikke vores fornemmelse eller viden, at fejlen har været udbredt viden,« siger Ib Konrad Jensen.

Den taktik forstår Stefan Milo ikke.

»Fejlen er jo ikke Yousees skyld, men producentens skyld. Jeg kan godt se, at de ikke ønsker at tage sig dårligt ud i medierne. Men Yousee kunne have været helten her. Nu er de blevet til skurken ved at tie det ihjel og ikke gøre noget,« siger han.

Sikkerhedshullet har ramt tre forskellige routere fra Netgear hos Yousee. Den første, der bliver opdateret, er den mest udbredte, nemlig Netgear CG3000.

Deltag i debatten på Version2.