A UPC kábelszolgáltató olyan routereket adott a felhasználóknak két akciós csomagja mellé, amelyeket nagyon könnyű feltörni. A cég már tud a problémáról, az új és a már kiosztott eszközökben is kikapcsolták a könnyű hekkelést biztosító beállítást.
A IT-biztonsággal foglalkozó Buhera blog olvasói vették észre, hogy a UPC akciós Fiber Power 50 és 120 internet-előfizetései mellé adott wifi-routerek nagyon könnyen hekkelhetők. A Cisco EPC3925 típusú eszközök olyan alapbeállítással érkeznek, amely lehetővé teszik, hogy a támadó egy előre, alapbeállításként megadott számsorral belépjen az egyébként védett hálózatokra is.
Ezeket a routereket már felszerelték a WPS-megoldással (Wi-Fi Protected Setup). Ez a lusta felhasználóknak és a mobileszközök használóinak való: általában elég egy gombot megnyomni a routeren, az pedig generál egy pinkódot, az azonosításhoz a megszokott hosszú wifi-jelszavak helyett pedig elég ezt bepötyögni az érintőképernyő nehézkes billentyűzetén. A protokoll egyébként is problémákkal küzd, brute force-támadással bármelyik jelszó aránylag gyorsan törhető.
A UPC esetében a baj az, hogy ez az opció alapból be van kapcsolva, ráadásul ismert a jelszó is: 12345670. Ezért, ha az eszköz olyan felhasználónál köt ki, aki nem szokott változtatni az alapbeállításokon, vagy akár nem is tudna, mivel nem ért hozá – és mint látható, a többség ilyen –, az internetkapcsolathoz egy alapjelszó megadásával hozzá lehet férni.
Ráadásul a UPC online útmutatója sem tájékoztatja a felhasználót, hogy valamit át kellene még állítani a biztonságos működtetéshez. A töréshez használt reaver nevű programnak három másodperc elég volt a sikeres behatoláshoz.
Szűcs László, a UPC kommunikációs igazgatója elmondta, hogy már tudnak a problémáról, ezért kikapcsolták a funkciót a routerekben, így már nem lesz probléma azoknál, akik újonnan kapják meg az eszközt, sőt változtattak a beállításon a már kiosztott eszközöknél is.
Szűcs szerint a felhasználók többsége mára nagyjából tisztában vannak a biztonsági beállításokkal, tapasztalataik szerint nagyon ritkán fordul elő, hogy valaki jelszó nélkül hagyja a vezeték nélküli kapcsolatát. A UPC-nél minden wifis routert előre generált kulccsal zárnak le, vásárláskor pedig felhívják a felhasználók figyelmét, hogy változtassák meg ezt a jelszót.