Bredbandsbolaget har fortfarande allvarliga säkerhetsbrister i sina modem som gör att internetuppkopplingarna är vidöppna för utomstående att kapa. Företaget meddelade för 1,5 vecka sedan att sårbarheten är borta, men DN kan i dag avslöja att deras påstådda säkerhetsuppdatering aldrig har skett.
DN kunde nyligen visa att Bredbandsbolaget har säkerhetsbrister i sina modem. De var så allvarliga att utomstående skulle kunna avlyssna internettrafiken, telefonsamtal, läsa mejl och till och med kapa kontot hos internetbanken.
Efter avslöjandet meddelande Bredbandsbolaget att luckan hade täppts igen. ”Bristerna är nu åtgärdade genom en säkerhetsuppdatering av modemets programvara. Uppdateringen blev klar den 30/10”, står det på företagets hemsida.
Men någon uppdatering till en ny version av programvaran har inte gjorts. DN kan i dag avslöja att säkerhetsbristerna fortfarande finns kvar på två av de tre modemen från märket Zyxel som Bredbandsbolaget använder – modell 2601 och 2812.
Bredbandsbolaget har i stället försökt dölja bristerna genom att stänga av modemets kontrollpanel. Men ”adressen” dit finns fortfarande kvar, fast på ett annat ställe – port 37.964 i stället för port 80.
DN gjorde i måndags stickprov hos 17 privatpersoner som har Bredbandsbolaget och modemet Zyxel 2601 eller Zyxel 2812. I samtliga fall kunde vi kapa personernas internetuppkoppling. Vi fick tillstånd före testet.
Modemen är fortfarande förprogrammerade med ett dolt användarkonto, som heter Kung, med ett dåligt lösenord på bara fyra tecken och som ger fullständiga rättigheter att ändra inställningar. Kommer man in på det kontot kan man ta kontroll över modemet.
DN:s uppskattning är att minst 100.000 hushåll fortfarande har de osäkra modemen.
För att sårbarheten ska kunna utnyttjas krävs att internetanvändaren lockas att besöka en hemsida som innehåller skadlig datorkod.
Koden skulle till exempel kunna läggas in på en sida som innehåller bilder på djur, eller dolt i en annons på en helt vanlig hemsida. Genom koden som göms på sajten kan utomstående ändra vilken så kallad domännamnserver – ett slags ”adresslista” – som modemet ska använda. Servern är en särskild dator som i normalfallet står hos internetleverantören och som modemet anropar när webbläsaren vill veta vilket ip-nummer en sajt har.
Om den riktiga domännamnservern byts ut till hackarens egen server får han eller hon kontroll och kan se vilka sajter som besöks. Det går till och med att skicka internetanvändaren till fel ställe.
Utomlands har liknande säkerhetshål i modem utnyttjats av bedragare. Hösten 2013 hackades till exempel 300.000 polska modem när domännamnservern ändrades så att brottslingar kunde kapa bankkonton.
Andreas Hamrin, presschef på Bredbandsbolaget, säger till DN att företaget under natten mot tisdagen ska arbeta med att försöka täppa till säkerhetsproblemen.
Hur ser du på att det fortfarande går att hacka era modem?
– Det är otroligt allvarligt. Så fort vi fick kännedom om den nya säkerhetsbuggen så har vi – tillsammans med Zyxel – jobbat på en ny lösning. Sedan kommer vi att ta in en extern konsult som ska granska om lösningen är säker.
Hur ser du på att ni uttryckt er som att en ”säkerhetsuppdatering” har gjorts av modemets programvara, när det i själva verket är samma version av programvaran som tidigare?
– Eftersom det har kunnat misstolkas så är det olyckligt. Det har inte varit vår avsikt. Tvärtom har vi försökt vara så tydliga som möjligt. Med säkerhetsuppdatering menade vi en ändring av konfigurationsinställningarna.
Om man klickar sig vidare på Bredbandsbolagets hemsida står det att företaget arbetar på en ”mer långsiktig lösning” med en ny ”mjukvara”.
Bredbandsbolaget är en av landets största internetleverantörer.
Den 29 oktober kunde DN avslöja att företaget har allvarliga säkerhetsbrister i sina modem som gör att utomstående kan avlyssna och kapa internetuppkopplingen.
Två av Bredbandsbolagets modem – Zyxel 2601 och Zyxel 2812 – har fortfarande allvarliga säkerhetsbrister.
Det står på modemets framsida vad modellen heter.
Det är svårt att själv skydda sig mot säkerhetsbristerna. Vi har sett att versionerna (så kallad firmware) av modemets mjukvara är gammal och sårbar. Vad Bredbandsbolaget sannolikt behöver göra är att uppgradera alla kunders modem. Det är oklart hur lång tid det tar.
Ett sätt för kunder att skydda sig är att själva köpa ett modem som man litar på – och koppla in det med Bredbandsbolagets Zyxel-modem i så kallat ”bryggat läge”.
För att skydda sig mot ”bankkapning” gäller det som användare att vara uppmärksam på om hemsidan använder sig av en krypterad anslutning. Då står det ”https” i adressfältet i kombination med ett certifikat som ska garantera besökarna att man befinner sig på bankens hemsida.
1 På tjänsten ”DN granskar” kan du tipsa oss om missförhållanden och lämna information som kan vara känslig. Adressen är dngranskar.dn.se. DN skyddar sina källor.
2 Tjänsten är uppbyggd för att ge dig som tipsare största möjliga säkerhet. Därför krypteras ditt tips.
3 Du får vara anonym. Granskande reportrar tar hand om tipset.