Yousee har kort tid efter lanceringen måttet lukke for mere end 100.000 kunders hotspots, fordi der er fundet flere sikkerhedshuller i Yousees implementering. Det har gjort det muligt at få adgang til delte filer på Yousee-kundernes netværk.
Sikkerhedshullerne blev fundet af et par medarbejdere hos it-sikkerhedsfirmaet CSIS, som rapporterede dem til TDC, der ejer Yousee.
»Vi havde et par medarbejdere, som selv er kunder hos Yousee, og når man arbejder med it-sikkerhed, så er man jo nysgerrig,« fortæller sikkerhedskonsulent Peter Kruse fra CSIS til Version2.
Yousee har efter en pilottest rullet hotspot-løsningen ud til selskabets bredbåndskunder. Den gør det muligt for Yousee at tilbyde kunderne, at de kan bruge et ekstra wifi-netværk på bredbåndskundernes trådløse routere til at få hotspot-adgang, når de ikke er hjemme, hvis de er i nærheden af en Yousee-router.
Løsningen er blevet rullet ud til alle Yousee-bredbåndskunder, men kunderne har mulighed for at afmelde sig tjenesten, hvis de ikke ønsker at dele deres router.
Yousee-løsningen er blevet testet, men alligevel var det ifølge Peter Kruse ikke specielt vanskeligt for sikkerhedsfolkene at finde sårbarhederne.
»Der er tale om flere typer sårbarheder, og mindst én af dem – den som også er den mest alvorlige – ville jeg forvente, at man havde fundet i et review af sikkerheden. De andre kan være lidt mere tricky at finde, men når man først har fået blod på tanden, så fortsætter man med at grave,« siger Peter Kruse.
Hverken CSIS eller Yousee ønsker på nuværende tidspunkt at afsløre de nærmere detaljer omkring, hvilke typer sikkerhedshuller der er tale om, eller hvordan de kunne udnyttes.
»Vi kontaktede TDC i sidste uge og forelagde dem dokumentationen. Vi aftalte, at vi ikke ville offentliggøre detaljer om sårbarhederne, og TDC’s respons har været at lukke for al offentlig adgang til routerne,« siger Peter Kruse.
Ifølge Yousee indebar sårbarhederne, at en person udefra kunne få adgang til filer, der blev delt på det private trådløse netværk. Det kunne være delte mapper eller filer på netværkshardiske. Præcis hvordan adgangen til filerne kunne ske, har Version2 ikke kunnet få oplyst.
Allerede umiddelbart efter Yousees lancering af hotspot-tjenesten, blev løsningen kritiseret for, at det blandt andet var for besværligt at framelde sig, så man fik lukket sin forbindelse for eksterne brugere.
Og inden lanceringen havde Yousee forsikret om, at det kun ville være Yousee-kunder, der kunne få adgang, og at det private netværk og det åbne hotspot ville være adskilt.
Yousee har nu lukket for hotspot-tjenesten på alle kundernes routere, og selskabet vil først åbne for adgang igen, når sikkerhedshullerne er lukket.
Leave a Reply