News Router von Unitymedia: Standardpasswörter sind ein Sicherheitsrisiko

[tom221]

Auch Horizon-Boxen sind wohl betroffen!

 

[Marco01_809]

Unfassbar wie solche Sicherheitslücken zustande kommen können. Wer kommt auf die endlos bescheuerte Idee, das Passwort aus SSID/Seriennummer/MAC-Adresse/u.s.w. zu generieren, anstatt ein paar billige Bits an Zufall zu generieren? Die ganze technische Abteilung in dem Laden (Hersteller der Hardware) gehört fristlos gefeuert und jeder einzelne Verantwortliche sollte angeprangert werden. Sonst geht das ewig so weiter mit absolut bescheuerten Sicherheitslücken, wenn die Verantwortlichen glauben, das hätte eh keine Konsequenzen.

 

[Pure Existenz]

jeder einzelne Verantwortliche sollte angeprangert werden.

Geht doch nicht. Arbeitszeugnisse müssen in Deutschland wohlwollend formuliert werden.

 

[crvn075]

Wenn ich das wieder les weiß ich warum ich kein WLAN benutze.
Es ist leichter zu knacken als LAN.

Da ist allein aus rein physischen Gründen sicherlich etwas Wahres dran (wenn auch unpraktikabel, oder hast du keine mobilen Geräte?). Allerdings ist es fast unfair, einen derart fahrlässigen Implementierungsfehler der Technologie "WLAN" ansich anzulasten. Es wurde einfach grob geschlampt.

Wer bei Routern die default-Passwörter nutzt, hat die Kontrolle über sein Leben verloren.

Schnaufte

 

[Tronx]

Manche hier machen sich echt zum Affen, kritisieren was das Zeug hält, haben aber bis JEZT nicht mal das Passwort geändert, wenn doch, wozu dann die Aufregung?

Ich bezweifle auch, dass es irgendjemanden hier treffen wird.

 

[buergerkneifer]

Wie sich hier Leute darüber auslassen, dass man das Passwort sowieso ändert, verstehe ich nicht so recht. Sicher werden die User hier so vorgehen, aber vom "normalen" Benutzer kann man das nicht erwarten. Die Passwörter werden mit den Geräten verteilt und wirken absolut zufallsgeneriert. Daher wird der normale Benutzer das auch einfach benutzen, bevor er sich ein anderes einfallen lässt bzw. ein zufälliges generieren lässt.

Persönlich finde ich die Sache durchaus bemerkenswert, auch wenn ich WLAN nicht aktiviert habe.
PS: In der Überschrift dürfte auch darauf eingegangen werden, dass es sich um die WLAN-Passwörter handelt und nicht um die Zugangspasswörter (hier gilt das Selbe: es weiß einfach nicht Jeder!).

 

[MXE]

Habe die Alice Box meines Nachbarn "geknackt". Die steht seit 8 Jahren mehr oder weniger offen und Alice bzw. o2 interessiert das nicht. Immerhin hat er ein neues Gerät bekommen, ich werde es ihm sicher einrichten. Das ist das Dümmste was man machen kann, aber bestimmt 95% der Nutzer lassen alles so wie es der Hersteller vorsieht. Bleibt mir ein schönes Hobby und Nebenverdienst.
Man kann nicht oft genug betonen, dass man ein gutes Passwort braucht. Groß und Kleinschreibung, kein bekanntes Wort, Zahlen und Sonderzeichen, mindestens 12 Stellen und die üblichen Tools haben sehr schwer daran zu knabbern (WPA2 Verschlüsselung)

 

[EMkaEL]

auch die upc cablecom in der schweiz informiert seine kunden und versendet mails:

Lieber Herr xxx

Wir möchten Sie darüber informieren, dass das werkseitige Standardpasswort Ihres WLAN-Netzes möglicherweise von Unbefugten erraten werden kann. Falls Sie bereits ein persönlich definiertes Passwort verwenden, müssen Sie nichts unternehmen. Falls Sie hingegen Ihr Passwort noch nie geändert haben, empfehlen wir Ihnen, dies baldmöglichst nachzuholen.

Nach derzeitigem Stand ist uns zwar kein Fall des Missbrauchs bekannt, ein persönliches Passwort ist aber in jedem Fall sicher und deshalb sehr empfehlenswert.

Eine konkrete Schritt für Schritt Anleitung zum Setzen eines persönlichen Passwortes finden Sie hier.

Freundliche Grüsse
upc cablecom

 

[Pat]

[...] ein gutes Passwort braucht. Groß und Kleinschreibung, kein bekanntes Wort, Zahlen und Sonderzeichen, mindestens 12 Stellen und die üblichen Tools haben sehr schwer daran zu knabbern (WPA2 Verschlüsselung)

Ich habe letztens mal einen Artikel gelesen in dem stand, das bringt heute alles nix mehr und ist knackbar. Das einzige das was bringt ist pure länge, am besten einen ganzen Satz verwenden.

 

[Tomsenq]

Ich nutze eine FB6360 von UM und hatte von denen noch nie etwas anderes, trotzdem habe ich die mail bekommen.
Die scheint wohl an alle Kunden verschickt zu werden.

 

[gidra]

Unitymedia hat aktuell drei 2play Tarife im Programm, die immer einer Vollausstattung zum Internetsurfen und Telefonieren enthalten. Zu 2play Comfort 120 und 2play Premium 200 wird die Connect Box mitgeliefert. Zu Start 60 gibt es noch das ältere Router-Modell Technicolor TC 7200.

• Technische Details
  • Kabelrouter mit WLAN-Funktion (Dual-Band 2,4GHz/5GHz)
  • WLAN nach 802.11 b/g/n/ac mit bis zu 1300 Mbit/s
  • 4 Gigabit-LAN-Anschlüsse
  • 2 Telefonanschlüsse
  • WPA2 Verschlüsselung, integrierte Firewall
  • WPS-Schalter
  • 1x USB 2.0
  • integrierter DHCP-Server
  • Abmessungen: ca. 220 x 75 x 160 mm

https://www.dslweb.de/unitymedia-connect-box.php


Damit dürften die Schimpftiraden wohl zu ende sein.

​Reicht es eigentlich aus wenn man die SSID Kennung ausschaltet ?

 

[DerKonfigurator]

Geht, wer in deine Wohnung einbricht hat Vollzugriff aufs Lan-Netzwerk aber kommt noch lange nicht ins W-Lan

Mal außerdem das das wohl der dümmste Einbuchsgrund sein wird, kann dieser dann die meistens vorhandene WPS Taste drücken und schon ist der drin.

Abgesehen davon, willst du alle Mobilen Geräte per LAN anschließen oder wie?
USB-Lan-Adapter per OTG ans Smartphone/Tablet

Ja will ich.
Mach ich aber fast nie weil für einmal whatsapp öffnen reicht auch meine internet flat.
Große Mengen Daten will mein Handy nur wegen Updates, aber die mach ich sowieso nicht.

 

[Key³]

Ist gut wenn die Leute jetzt ihr Passwort ändern, leider dürfte es aber wenn gewollt noch einfacher sein bei manch einem Zuhaus, denn man brauch jetzt keine SSID oder MAC sondern muss nur ans Klingelschild laufen und im schlimmstfall noch das Geburtsjahr wissen alla muellergeorg1955

 

[bootloop]

Es gilt aber auch immer Standardpasswörter gleich ändern...
Aber immerhin senden die eine Mail an die Betroffenen, das ist eine minimale Entschädigung.
Jetzt sind ja die Leute gezwungen ihre Passwörter zu ändern... .

bootloop

 

[gidra]

Habe jetzt Mac-Adressfilter aktiviert und damit hat es sich erledigt ?

 

[Luxuspur]

Manche hier machen sich echt zum Affen, kritisieren was das Zeug hält, haben aber bis JEZT nicht mal das Passwort geändert, wenn doch, wozu dann die Aufregung?

Ich bezweifle auch, dass es irgendjemanden hier treffen wird.

Das als Lücke / Fehler des Herstellers anzukreiden und wenn der standardmäßig 0000 als PW setzt! Das ist ein Nutztungsfehler des Users, das ist das Erste was man ändert ... aber die User sind ja scheinbar zu faul sich mal mit genutzter Technik auseinanderzusetzen! Dummheit schließe ich hier definitiv aus ( denn jeder Router den ich bisher in den Händen hielt: hatte den entsprechenden Hinweis das PW zu ändern im Handbuch stehen ) also wiederum Faulheit wenn man das halt gar nicht erst liest! Analphabeten mal außen vor! Aber die kriegen sowas ja eh nicht alleine zum laufen!

Jeden den es da trifft kann man nur wünschen das es mit maximalen Schaden geschieht! Manche brauchen das ja scheinbar um zu lernen!

@Tronx du überschätzt die CB Klientel masslos, da sind bestimmt dutzende Betroffene hier im Forum! Selbst hier auf einem " Fachforum" kannst du davon ausgehen, das ein titten.jpg.exe zu 50% Erfolg hat!

 

[overflow]

Reicht hosts? Apache läuft so, dass von aussen her kein Zugang geht. Einen Router gibts hier nicht.

 

[ChrisMK72]

, das bringt heute alles nix mehr und ist knackbar. Das einzige das was bringt ist pure länge, am besten einen ganzen Satz verwenden.

Is das n Joke, oder ernst gemeint ?

Frage nur, weil ich bisher davon ausgegangen war, mindestens 12 Zeichen, mit Gross-/Kleinschreibung, Zeichen und Zahlen wäre relativ sicher.

Einfach nur n ellenlanger Satz zusammengeschrieben und nur klein ist sicherer ?

 

[Candy_Cloud]

Ergänzung zu Update 2:

Nur Kunde mit aktivem WLAN.

Ich habe die Ubee Kiste, aber bin kein WLAN Kunde, daher betrifft mich dieses Risiko auch nicht und habe auch keine Mail erhalten.

 

[Marco^^]

Davon habe ich gar nichts mitbekommen, weil der Cisco ein reines Modem war, worauf man als Kunde keinen Zugriff hat. Das Ding hat über Jahre problemlos funktioniert und dahinter befand sich bei mir immer eine Hardwarefirewall.

Das liegt an dem Firmware design, wenn man ein eigenes OS hätte, dann ist die Kontrolle der Updates auch gewährleistet, wohl dem der kein KabelRouter benutzen muss.

Ich hatte mir mal einen Router / Model für DSL rausgesucht aus einem älteren Hardware Test ...

http://www.getnet.eu/products_GR-154.html
https://www.google.de/search?q=getnet+GR-154+test