Bij verschillende klanten van XS4ALL is de afgelopen dagen misbruik van hun telefonie-abonnement geconstateerd. Bij deze klanten wordt zonder dat ze dit zelf weten naar dure buitenlandse telefoonnummers gebeld, waardoor zeer hoge telefoonkosten worden gemaakt. De getroffen klanten worden door XS4ALL gebeld. De telefoonkosten die door dit misbruik zijn ontstaan, worden niet door XS4ALL in rekening gebracht.

Hoe het probleem is ontstaan is nog niet bekend. Het lijkt te maken te hebben met de FRITZ!Box modems die klanten van XS4ALL in bruikleen hebben. Het probleem speelt niet alleen bij XS4ALL, maar ook bij andere gebruikers van FRITZ!Box modems. AVM, de  Duitse producent van de FRITZ!Box, onderzoekt wat hier precies aan de hand is, zodat het probleem opgelost kan worden. Daarin werkt AVM samen met XS4ALL en met de Duitse justitie.

Remote Access

Hoewel de precieze oorzaak van het probleem nog niet bekend is, is duidelijk is dat het probleem zich voordoet bij mensen die de Remote Acces-functie van hun FRITZ!Box modem hebben geactiveerd.  Remote Access betekent dat het modem vanaf het internet bereikbaar is. XS4ALL heeft onderzocht welke klanten deze functie geactiveerd hebben en neemt contact met hen op.

Klanten die door hun modeminstellingen kwetsbaar zijn voor dit probleem, worden vandaag allemaal geïnformeerd. Zij krijgen per e-mail naar hun XS4ALL-emailadres instructies voor het uitzetten van Remote Access.

Wat kunt u doen?

Weet u niet zeker of de Remote Access op uw modem aanstaat, dan kunt u dat eenvoudig checken via de knop op onze website. De check is alleen uit te voeren vanaf uw eigen internetverbinding. We adviseren onze klanten het wachtwoord van hun Fritzbox en het wachtwoord van telefonie-accounts voor de zekerheid te wijzigen. Gedetailleerde instructies, vindt u hier.

Maatregelen

XS4ALL heeft direct maatregelen genomen, en klanten die door dit probleem getroffen zijn, zijn gebeld. Op dit moment zijn nog niet alle klanten telefonisch bereikt, we gaan door totdat alle klanten op de hoogte zijn. Om de schade te beperken heeft XS4ALL ervoor gekozen telefoongesprekken naar een aantal landen tijdelijk te blokkeren. Mocht het gebeuren dat u daardoor een telefoonnummer niet kunt bereiken, dan spijt ons dat zeer. We doen er alles aan om het probleem op te lossen, zodat de blokkade snel weer kan worden opgeheven.

Kosten

De belkosten die door dit probleem worden veroorzaakt, worden niet aan klanten in rekening gebracht. Onze klanten  kunnen er dus gerust op zijn dat ze hierdoor niet opgezadeld worden met een enorme telefoonrekening. Mocht dat onvoorzien toch gebeuren, dan zullen we dat uiteraard in orde maken.

Inmiddels is er een update uitgebracht voor de firmware van de getroffen modems. We raden onze klanten dringend aan zo snel mogelijk te updaten. Meer informatie is hier beschikbaar.

Deel dit:

Reacties

  1. Harrie says:

    Onderscheppen van wachtwoorden kan ook zonder remote access. XS4ALL bevestigt het gat, al lijkt de aanval ‘theoretisch’.

    De kwetsbaarheid in Fritzbox-modems is ernstiger dan fabrikant AVM eerder heeft toegegeven en alle gebruikers moeten de laatste firmware installeren. Om beheerderswachtwoorden van de modem te kunnen onderscheppen is het niet nodig dat deze de remote accessfunctie aan heeft staan.

    Dat blijkt uit het uitpluizen door reverse engineering van de firmware update die het concern heeft uitgebracht. Om beheerderswachtwoorden van het modem te kunnen onderscheppen is het niet nodig dat de modem de remote accessfunctie aan heeft staan.
    Kwaadaardige site onderschept wachtwoorden

    Remote access leek eerder de enige aanvalsvector, maar Heise achterhaalde dat exfiltratie van deze inlog ook met een speciaal geprepareerde website kan. Als een pc in het LAN-netwerk van de modem deze site bezoekt, kan op afstand de inlog worden bemachtigd.

  2. turkchat says:

    Hoe weet u dan waar ze vandaan komen..

  3. Li says:

    De oorspronkelijke bron van dit verhaal moet dus zijn…

    http://www.spiegel.de/netzwelt/web/bsi-warnt-vor-identitaetsdiebstahl-16-millionen-nutzerkonten-betroffen-a-944643.html

    Niks te maken met Fritz du lijkt het?

  4. Li says:

    Weet iemand welke passwords precies buitgemaakt konden worden en of daar alleen toegang tot de fritzbox voor nodig was?

    Of zijn er ook nog avm / xs4all servers gehackt?

    • Jep says:

      Hoop dat ik niet voor m’n beurt praat want ik snap nog niet alles ervan;

      het eigenlijke probleem was een zwakke plek in de Fritzbox ‘firmware’.
      Met hulp van een botnet hebben crackers een poort die enkele gebruikers open hadden staan, poort 443 ‘remote access’, gekraakt en konden daarom wachtwoorden achterhalen.

      Met hulp van die wachtwoorden konden ze de rest van de narigheid uithalen.
      Er zijn dus geen servers gekraakt, alleen modems thuis en er is misbruik gemaakt van de internet telefonie bij de getroffenen.

      • Li says:

        Dus je baseert je verhaal op een bericht van nu.nl niet van xs4all of avm?

        Ik denk ook dat er meer is dan wat avm of xs4all meld maar wil ook nog wel eens verifieren hoe nu.nl (is dat een serieuze club of een roddelrubriek?) aan zijn info komt.

        Om via gehackte routers te bellen moet de hacker de gebruikersnaam, het wachtwoord en ip-adres van de Fritzbox hebben. Volgens AVM is het mogelijk dat kwaadwillenden over deze gegevens beschikken door een botnet dat recentelijk 16 miljoen e-mailadressen en bijbehorende wachtwoorden heeft gekraakt.”>

  5. Li says:

    Begrijp ik nu goed dat er geen structurele oplossing is maar alleen een fix om te voorkomen dat deze specifieke attack niet meer kan voorkomen???

    AVM was able to identify the attack patterns of the perpetrators. According to these findings, the perpetrators attacked via port 443 therefore could break into the FRITZ!Box. During these attacks, the perpetrators also obtained passwords. Over the course of the weekend, AVM will make software updates available to prevent further attacks following this pattern

    • Jep says:

      Zie svp mijn andere antwoord; de Fritzbox firmware wordt *nu* gerepareerd, is voor de meeste types al beschikbaar en dit probleem is daarmee opgelost als alle Fritzboksers ‘updaten’.
      In elk geval, de weinigen die de bewuste poort openzetten, moeten updaten.

  6. Jep says:

    Ik begrijp dat dit een heel ‘sophisticated attack’ was!
    Hoop dat de schade niet heel erg groot was, en natuurlijk dat de criminelen gepakt worden want het is verontrustend dat zoiets mogelijk is, en waarschijnlijk nauwelijks te voorkomen.
    Een gaatje in de firewall van de Fritzmodems exploiteren, wachtwoorden oogsten en die setup met een botnet en betaalnummers.. het is ver### knap, deze kraak is niet in een maandagmiddagje in elkaar gezet.
    En, als dit heel veel geld oplevert, is herhaling te verwachten; is een dergelijke setup al eerder gepleegd, met betaalnummers?

    *Respect* voor hoe xs4all en avm.de ermee omgaan.
    Ben ook benieuwd hoe groot de schade is, en ja, ook of xs4all gaat claimen bij de Fritzbox makers, of hen schuld te verwijten is.
    Maar ik kan me ook voorstellen dat geen van beide partijen dat openbaar wil maken.
    En ook dat xs4all liever niet zou willen erkennen als de schade heel groot is, hoe groot die is.
    Maar ik zou het wel willen weten. Zeker als xs4all alle schade op zich neemt.

    • Li says:

      Jep,

      Uit de informatie van avm en xs4all kan ik niet zoveel opmaken. Ik vindt het zeker niet voldoende om te beoordelen welk risico ik heb gelopen of nog loop. Ook vind ik de door avm geopperde fix maar twijfelachtig.

      Jij weet blijkbaar meer details.

      Kun je aangeven wat je bronnen zijn.

      • Jep says:

        Ik heb deze pagina en die van avm.de gelezen;
        http://www.avm.de/en/Sicherheit/advice.html
        nadat ik het bericht op nu.nl tegenkwam en ook op nujij.nl gelezen en erop gereageerd heb.
        Mijn beeld van wat er is gebeurd heb ik vooral van de avm pagina.
        Misschien kan een xs4all medewerker zeggen wat ervan klopt?

      • Niels Huijbregts Niels Huijbregts says:

        Ik schrijf zo weer een nieuwe update op de blog. We kunnen nog niet alle vragen beantwoorden, maar ik zal m’n best doen.

  7. Ron says:

    Sinds de update van mijn 7390 naar OS 6.03 kan ik geen gebruik meer maken van mijn andere SIP providers. Wat kan er aan de hand zijn? Iemand nog een tip waar ik de vorige firmware kan vinden? Op de AVM ftp server zijn ze niet meer beschikbaar

    • Wally says:

      Ik denk dat dat niet met de update te maken heeft, maar mogelijk met de poortbeveiliging, in te stellen via het servicecenter van xs4all.
      Als die op 4 staat wordt sip nu geblokkeerd

  8. as says:

    de poort check werkt nog steeds niet goed.
    443 staat open bij mij en de site zegt.
    er is niets aan de hand uw poort staat dicht.

    Net wel mijn 7360 geupdate naar 6.03

  9. Exit FritzBox says:

    Inderdaad, na meer dan 10 jaar klant geweest te zijn had ik het ook gehad met de alsmaar dalende kwaliteit. In 2011 nog eindeloos contact gehad met de helpdesk over alsmaar dalende lijnsnelheid wat nooit is opgelost. VOIP was met name in het begin een ramp. Nu een modem dat van alle kanten open blijkt te staan. Ok, ze proberen het beveiligingsincident niet in de doofpot te duwen want dat mag inmiddels niet meer, maar ze zijn wel erg vaag over wat concreet de situatie nu is. Dat was voorheen wel anders, we hadden ADSL van Xs4all en ISDN van KPN. Die combinatie was zo stabiel dat Xs4all eigenlijk geen helpdesk nodig had. Maar als je er dan contact mee opnam wisten ze wel waar ze het over hadden en werd er niet opgehangen tot het probleem was opgelost. Kan me nog herinneren dat de servicedesk me met beheer doorverbond om te helpen bij de configuratie van een MTA; dat zag je geen enkele andere provider klaarspelen en daarom waren ze ook speciaal. Maar ik vrees dat ze te groot / commercieel geworden zijn om nog naar klanten te luisteren, en aan teveel verdienmodellen gebonden zijn. Dat hebben ze inderdaad aan KPN te danken; niet dat UPC / Ziggo bekend staan om uitstekende service, maar na de aanstaande overname gaan deze klanten er zeker niet op vooruit. Krijg je ervan als de top van een bedrijf alleen maar meer en meer wil en nooit tevreden is; de klant betaald de prijs wel.

    Hopelijk gaan ze daar bij Xs4all eens goed nadenken of ze de focus weer op kwaliteit moeten gaan leggen ipv commercie en hypes, potentiële klanten die kwaliteit belangrijk vinden kunnen namelijk nog maar op weinig plaatsen terecht en kwaliteit is zeker een markt.

    • Piet says:

      Tja, dat ‘we’ weer onderdeel zijn van KPN is mij ook een balk in het oog. Als het aan mij lag was KPN al jaren dood. Helaas werd hun ingeslapen directie en ouderwetse model steeds weer op mirakuleuze wijze gered.

      Helaas bieden andere providers niets beters.

  10. Jan de Jong says:

    Ik ben klant bij xs4all vanaf 1993 (meen ik mij te herinneren)
    Toe waren het echte techneuten (klopt ‘Exit FritzBox’), met hart voor de zaak. Ik ga niet zeggen dat xs4all nu prut is, maar sinds zij zijn overgenomen door kpn n.b. (voorheen was het noemen van kpn bij xs4all als vloeken in de kerk) is mijn tevredenheid echt flink afgenomen. Zo heb ik tv van xs4all (dus signaal via dsl) en dat levert regelmatig storing/problemen. ik heb Inet extra met 40Mb/s. Nu weet ik wel dat bijna niemand die bandbreedte haalt, maar mijn 10Mb/s steekt daar wel schril bij af met 2km tot de centrale! Ik denk dat ik zo’n 2/mnd aan de tel hang en ik ben echt geen newbie.
    Dus het kan vele malen slechter (ben ook kort bij UP(yours)C geweest), maar de kwaliteit van de jaren 90 komt nooooit meer terug.