De Duitse ontwikkelaar Alexander Graf vond wachtwoorden in het geheugen van zijn eigen router. Deze gaven toegang tot het onderhoudsnetwerk van Vodafone-dochter Kabel Deutschland. Daarmee kon hij ongehinderd rondkijken op de routers van 2,8 miljoen Duitsers.

Alexander Graf ontdekte de kwetsbaarheid toen hij in zijn eigen router op zoek was naar de inloggegevens voor zijn voip-toegang, die hij wilde gebruiken om zijn eigen hardware aan te sluiten. Hij trof een verstopte netwerkverbinding met de naam wan0 aan, die deel van het onderhoudsnetwerk van de Duitse aanbieder bleek te zijn. Via dit netwerk kon hij zich via telnet en later via ssh toegang verschaffen tot de routers van 2,8 miljoen andere gebruikers. De toegangswachtwoorden van deze routers waren deels in plaintext opgeslagen in het geheugen van zijn eigen router. Deze waren voor alle apparaten gelijk.

Hij was vervolgens in staat om willekeurige code op de routers uit te voeren met root-toegang. Daardoor kon hij ook achter de wachtwoorden van andere gebruikers komen en daarmee hun verbinding gebruiken en op hun kosten bellen. Hij besloot de provider in te lichten en deze reageerde binnen een maand met de mededeling de gebruikers op het onderhoudsnetwerk van elkaar geïsoleerd te hebben. Volgens de site Heise zou het lek al tien jaar lang hebben kunnen bestaan. Graf zal zijn bevindingen volgende week presenteren op het 32e Chaos Communication-congres in Hamburg.

Bron: Tweakers.net