En velmenende hacker la igjen en tekstfil på harddiskene til tusener av internettbrukere med bredbåndsrutere fra Asus. Dette skjedde i februar 2014, lenge etter at de kritiske sårbarhetene var blitt kjent.
Den barmhjertig samaritan ønsket å advare folk gjennom å plante dokumentet WARNING_YOU_ARE_VULNERABLE.txt hos berørte kunder av Asus. I meldingen ble det gitt en nøktern forklaring om at ruteren lå åpent tilgjengelig for misbruk av hvem som helst, samt en henvisning til hvordan sikre seg.
Ikke bare ruteren, men også tilkoblede harddisker som gjennom tjenestene AiCloud og AiDisk lot kundene etablere sin egen personlige skylagringsløsning hjemmefra.
Noen publiserte i samme tidsrom en liste med nærmere 13.000 IP-adresser som angivelig var rammet.
Forholdet berørte en lang rekke ruter-modeller med kritiske hull, som en sikkerhetsforsker hadde offentliggjort i juni og juli 2013.
Kyle Lovett, antakelig et pseudonym, skrev da til epostlisten Full Disclosure at Asus hadde vært lite imøtekommende om funnene. Ifølge kunngjøringen hadde den taiwanske utstyrsprodusenten gjort lite eller ingenting for å informere eller advare kundene sine.
Først syv måneder senere, og ni dager etter at listen med berørte IP-adresser var publisert, kom Asus med lappesaker i form av oppdatert fastvare (firmware) som fjernet i hvert fall noen av sårbarhetene.
– Hundretusener utsatt for risiko
Det amerikanske konkurransetilsynet FTC (Federal Trade Commission) har siden 2014 etterforsket selskapet for disse, men også flere andre tilfeller av svak sikkerhet.
Asus-rutere hadde i samme tidsrom også en risikabel standardinnstilling for FTP-server, som åpnet for ubegrenset fjerntilgang, noe digi.no nevnte kort i en sak i januar 2014.
I går varslet tilsynet at de inngår forlik.
_logo.svg.png){kind=logo}
Asus trenger verken å bekrefte eller avkrefte påstandene om «at kritiske sårbarheter i ruter-produktene deres har satt hjemmenettverkene til hundretusenvis av forbrukere» i fare for kompromittering, blir det slått fast.
– Asus markedsfører ruterne sine med tallrike sikkerhetsfunksjoner, som de hevder kan «beskytte datamaskiner mot uautorisert adgang, hacking og virusangrep, samt beskytte lokalnettverket mot angrep. Trass disse påstandene, hevder FTC at selskapet ikke har truffet rimelige tiltak for å sikre programvaren på ruterne, heter det i kunngjøringen fra FTC.
20 års sikkerhetsrevisjon
Myndigheten varsler et straffetiltak mot Asus som del av forliket.
De vil beordre Asus til å underlegge seg et omfattende sikkerhetsprogram, med jevnlige revisjoner utført av en uavhengig instans de neste 20 årene.
Selskapet risikerer også bøter på inntil 16.000 dollar for hvert fremtidige brudd på punktene i forliket. Formelt blir forliket vedtatt først etter en 30 dagers åpen høringsrunde.
