Innrømmer å ha somlet med usikre rutere

Nextgentel mener samtidig at digi.no gjorde vondt verre.

Det skrekkelige sikkerhetshullet i ADSL-modem fra Nextgentel, som digi.no omtalte i en serie artikler i forrige uke, skal omsider være lukket.

- Jeg kan bekrefte at alle ruterne er ivaretatt i forhold til dette sikkerhetsproblemet, sier Nextgentel-sjef Morten Ågnes.

    Les også:

Saken gjaldt bredbåndsruteren Inteno X5668. En utdatert programvareversjon har i lang tid gjort det mulig for hvem som helst å ta seg inn i ruterens administrasjonsgrensesnitt.

Passordet til utstyret har vært sirkulert på Internett i hvert fall siden september 2008. Nextgentel har også selv publisert nøkkelen på egne nettsider.

Nextgentel avviste senest torsdag at de hadde sikkerhetsproblem knyttet til sine rutere, men måtte senere innrømme at de har visst om forholdet «en stund». Hvor lenge ønsker de ikke å gå nærmere inn på.

- Vi ble oppmerksomme på denne feilen for en tid tilbake, og har dessverre brukt altfor lang tid på å utbedre den, sier direktør Morten Ågnes til digi.no.

De nekter også å fortelle hvor mange som ble berørt, men hevder det dreier seg om noen få, og bare Nextgentel-kunder som er tilknyttet datasentraler fra Telenor der de leier plass.

At kundene befant seg på sentraler der Nextgentel ikke har eget utstyr skal ha komplisert arbeidet med å rulle ut oppdatering som lukker hullet, ifølge Ågnes.

- Vi opplyser dessverre ikke antallet.

Utstyrsprodusenten Inteno understreker at feilen er knyttet til konfigurasjon av ruteren, og ikke programvare eller hardware. Alle deres rutere har støtte for å begrense tilgangen. Nextgentel bekrefter dette.

- Feilen har oppstått som følge av feilkonfigurering på vår side, det har ikke vært noe feil med Inteno-ruterne, sier Morten Ågnes.

Han ønsker å gjenta at selskapet tar sikkerhetsproblemer meget alvorlig, og skal håndteres så raskt som mulig.

- Imidlertid vil det alltid være ulike vurderinger som ligger til grunn for hvilke løsninger vi velger å ta i bruk for å minimere eller eliminere sikkerhetsrisiki, samt i hvilket tempo dette skjer. I denne saken har det nok tatt for lang tid å reetablere tilfredsstillende sikkerhetsnivå på denne type konfigurasjon.

Videre hevder Nextgentel-sjefen at de hadde lagt opp et løp med oppdatering av ruterne, som uavhengig av medieinteressen skulle vært ferdigstilt i slutten av forrige uke.

- Arbeidet ble imidlertid intensivert som følge av oppslagene i digi.no. I og med at nettstedet valgte å detaljert informere om dette, bidro dette til å øke våre kunders risiko, sier Ågnes.

Det kan innvendes at et så alvorlig sikkerhetshull uansett burde hatt full prioritet, og at berørte for lengst burde vært tilbudt nytt utstyr, hvis det er riktig at selskapet ikke maktet å rulle ut oppdateringer tidligere.

digi.no er kjent med at kunder som har tatt opp ruterproblemet i lengre tid har blitt møtt med defensive, avvisende eller uklare svar fra kundeservice hos Nextgentel.

    Les også:

Til toppen