För ett litet tag sedan framkom att några av Bredbandsbolagets vanligaste modem innehåller en allvarlig säkerhetsbrist. I Zyxel 2601, 2602 och 2812 finns ett dolt och förinställt administrationskonto, som bara skyddas av ett fyrsiffrigt lösenord. Det utgör i praktiken en bakdörr och ger så gott som obegränsade möjligheter att avlyssna och manipulera den datatrafik som passerar modemet.

Zyxel-2601-2602-2812-Bredbandsbolaget.jpg

Kort efter upptäckten vidtog Bredbandsbolaget enligt egen utsago den klumpiga men tillsynes effektiva åtgärden att helt enkelt inaktivera administrationsgränssnittet i en uppdatering av mjukvaran, något som hindrar både den rättmätiga användaren och potentiella angripare från att komma åt modemets inställningar.

Nu rapporterar Dagens Nyheter att detta inte stämmer. I två av tre berörda modem, närmare bestämt modellerna Zyxel 2601 och 2812, finns sårbarheten fortfarande kvar. Bredbandsbolaget har i själva verket inte inaktiverat gränssnittet utan enbart bytt port från 80 till 37964.

Andreas Hamrin, presschef på Bredbandsbolaget, menar dock att den tidigare informationen misstolkats. Den "nya" mjukvaran till modemen rättade inte alls till några säkerhetsproblem utan ändrade bara inställningarna, vilket knappast utgör något hinder för en målmedveten angripare.

Eftersom det har kunnat misstolkas så är det olyckligt. Det har inte varit vår avsikt. Tvärtom har vi försökt vara så tydliga som möjligt. Med säkerhetsuppdatering menade vi en ändring av konfigurations­inställningarna.

På Bredbandsbolagets webbplats står det nu att "den sårbarhet som identifierades den 29 oktober åtgärdades genom ändringar i modemkonfigurationen redan den 30 oktober". Den senaste upptäckten om att uppdateringen är verkningslös har internetleverantören "nu inlett arbetet med att åtgärda".