Kæmpeflop, da YouSee gjorde ”mit” bredbånd til 420.000 kunders wifi-spot

Af Dorte Toft 1

Da TDCs YouSee i sidste uge pludselig måtte lukke for en gratis ekstratjeneste i form af wifi-spots for sine 420.000 bredbåndskunder, må Sangen om Larsen have trængt sig på. ”Det sku’ vær’ så godt, men så’ er det faktisk skidt”.

Sikkerheden holdt ikke. Problemet havde måske passeret lidt mere gelinde, hvis det ikke havde været fordi de YouSee Wifi-spots, som kunderne kunne koble sig på, stod privat hos andre kunder. Det var ikke separate wifi-spots placeret i det offentlige rum af YouSee.

Sikkerhedsrisikoen lå hos de 250.000 kunder, der havde en trådløs router leveret fra YouSee.

Sårbare trådløse routere

Min router, en Netgear CG3000, udgjorde en sikkerhedsrisiko, ligesom NetGear CG3700 og Cisco EPC3925.

Godt nok er det blot en teoretisk sikkerhedsrisiko for mig. De udsatte er nemlig de kunder, der også har et netværksharddisk tilknyttet og/eller deler filer på egen harddisk med andre. Jeg gør ingen af delene.

Men alligevel. Tanken om, at folk på de to cafeer tæt på min bopæl kan logge sig ind med deres YouSee-kredentialer på ”mit” YouSee-bredbånd bekommer mig ikke. Ej heller at enhver anden YouSee bredbåndskunde inden for omkring 75 meters afstand fra min router kan benytte den mulighed.

Svag informationsindsats

Et dårligt informationsniveau fra YouSees side bidrager sikkert til uroen, men kompenseres den mon af fordelen ved selv at være sikret wifi-adgang via de 249.999 andre kunders trådløse routere, når jeg er på farten?

Det vender jeg tilbage til, men jeg må med skam (for en techjournalist) først melde, at jeg ikke havde fattet YouSees intentioner ud fra selskabets mail om disse wifi-spots, modtaget i marts.

Planlagt opdatering

Med et ”Hej” til mig og en overskrift om en ”Planlagt opdatering af YouSee Bredbånd” fik jeg følgende besked:

  • ”En af de næste par dage opdaterer vi dit modem til YouSee Bredbånd. Årsagen er, at vi er i gang med at etablere YouSee Wifi-spot i hele landet. Opdateringen af dit modem sker normalt mellem kl. 00.00 og kl. 7.30, og typisk vil du ikke bemærke det. Læs mere om YouSee Wifi-spot.”

Sidste sætning var en link.

Sprang over

Jeg fik aldrig klikket på den link, der var angivet til informationer om YouSee Wifi-spot. Det var vel bare en rutinemæssig opdatering af en eller anden teknisk grund, der havde med YouSees egne wifi-spots at gøre.

Det var det ikke, hvilket kom til at fremgå af medierne, hvor YouSee glad gav budskabet, at udstyr hos kunderne snart ville dække landet med et kæmpe wifi-net.

Hos hver kunde ville blive etableret et separat trådløst netværk, isoleret fra det private netværk hos kunden. Helt isoleret, så der var fred og ingen fare. Og man kunne melde sig fra, hvis man ønskede det.

Kritiske kommentarer

Jeg hæftede mig dog især ved kommentarfeltet under it-mediet Version2’s artikel, for her rejste røster blandt andet tvivl om, hvor sikkert det ville være.

Men YouSee havde forsikret, at det ville være helt sikkert, og selskabet afviste også al anden kritik i en ny artikel hos Version2.

Afvisningsartiklen var på den 27. marts, men få dage efter – den 31. marts om natten – lukkede YouSee pludselig for alle wifi-Spots.

Mail om lukning

Selskabet udsendte nogle timer senere en mail med nyheden og en forklaring.

  • ”Årsagen til lukningen er, at vi har fundet en sårbarhed i den software, der styrer hotspot-funktionen. Det er afgørende for os, at vores kunder er trygge ved at bruge YouSee Wifi-spot, så indtil fejlen er løst, har vi valgt at lukke servicen. På yousee.dk/wifi kan du læse mere.”

Ud af feriedvalen

Mailen, som jeg tjekkede sydpå i solen på en cafe med wifi, fik mig rykket ud af feriedvalen, for tanken om, at fremmede kunne have haft fri adgang til vores computere derhjemme var ikke rar. Heldigvis viste det sig, som nævnt tidligere, at problemet ikke vedrørte mit hjem, men alligevel.

Det var i øvrigt heller ikke TDC selv, der havde fundet usikkerheden, men sikkerhedsfirmaet CSIS.

De brede mediers dækning har været begrænset, og det gælder både de storstilede planer for Wifi-spot, og sikkerhedsproblemer, der bevirkede, at YouSee midlertidigt har sat en stopper for dem. Jeg kommer så sidst af alle – og med et såre smalt medie.

Resumé til overblik

Alligevel har jeg valgt at resummere historien – også fra en personlig vinkel. Det kan måske bidrage til at give andre et overblik.

I forgårs traf jeg beslutningen at melde mig ud af det store wifi-net, selv om jeg på mange måder går ind for, at vi hjælper hinanden med ressourcer. Min router skal være lukket for ”fremmede”, og jeg selv udelukker mig vel dermed fra at bruge andres som wifi-spot.

En dag melder jeg mig måske til igen, men beslutningen skylders, at jeg er ret forsigtig, hvad angår it-sikkerhed – en erhvervsrisiko, når man har dækket området i mange år.

Nogen vil måske påstå, at jeg har en vis noia. Jeg har f.eks. i flere år været efter NemID-strukturen, der udgør en ”single point of failure”, en sårbarhed, der i mine øjne er alt for stor.

Al sikkerhed, som mennesker kan udtænke, kan andre mennesker bryde. Hvorfor så åbne ladeporten, når man kan nøjes med en luge.

Ej sikkerhedsekspert

Jeg er dog på ingen vis sikkerhedsekspert, så der er absolut ingen grund til at se min handling som et råd i retning af at gøre det samme.

Der vil også være it-kyndige i det danske landskab, der med rette kan beskylde mig for at være for sløset med sikkerheden blandt andet i relation til, hvilke værktøjer jeg bruger. Sådan har min afbalancering af sikkerhed kontra smidighed været.

Opt-in kontra -out

Det er dog i mine øjne beklageligt, at TDCs YouSee bare pr. automatik indlemmer folk i nye tjenester, om gratis eller ej.

YouSee lægger sig dermed desværre op af den tendens på it-/net-fronten, der går på brugere pr. automatik indlemmes i meget mere, end hvad den enkelte egentlig havde sagt ja til, og deri ligger nye risici ikke mindst hvad angår privacy. Leverandøren opnår ekstra oplysninger om personen, som kan bruges og videresælges.

Jeg selv foretrækker aktivt at tage stilling, inden jeg ”melder mig til”. Jeg foretrækker, hvad der kaldes opt-in (opting in – vælge at være med).

I YouSee skulle man gennem processen med at sige fra, altså foretage en såkaldt opt-out.

Mere om årsagen dertil i næste blogindlæg, hvor Eva Tetsche, afdelingsdirektør i YouSee Bredbånd, fortæller om årsager til valgene, der er foretaget, konsekvenser og planer. Her fortælles hun også om, antallet af kunder, der reagerede med fravalg efter sikkerhedsbristen.

1 kommentar RSS

  1. Af Sikkerhedsfejl i YouSee Wifi-spots udløste begrænset frafald | Bizzen - IT & Business

    -

    [...] Et resumé af sagen kan læses her: ”Floppet, da YouSee gjorde ”mit” bredbånd til ”dit” Wifi-spot” British Telecom Claus Hetting Deutsche Telekom Eva Tetsche Fon TDC Wifi Offload YouSee YouSee [...]

Skriv kommentar

Kun fornavn og efternavn bliver vist i forbindelse med kommentaren. Dog skal alle felter med * (stjerne) udfyldes

Læs vilkår for kommentarer og debat på Berlingske Tidendes websites

RETNINGSLINJER

Berlingske ønsker at sikre, at debatten på b.dk føres i en ordentlig tone, som gør det inspirerende og udfordrende for alle at bidrage og deltage. Vi efterlyser gerne klare, skarpe, holdningsmæssige stærke indlæg med stor bredde og mangfoldighed og kritisk blik på sagen. Men vi accepterer ikke indlæg, som er åbenlyst injurierende, racistiske, personligt nedgørende. Sådanne indlæg vil fremover blive slettet. Det samme gælder indlæg, der ikke er forsynet med fuldt og korrekt navn på afsenderen, men som indeholder forkortede navne, opdigtede eller falske navne.

Vi opfordrer samtidig alle debattører til at gøre redaktionen opmærksom på indlæg, som ikke overholder disse retningslinjer.

Redaktionen

Yderligere info