Unitymedia Fritz.Box wurde gehackt

[Uwe_L]

Ich glaube da was von DS-Lite gelesen zu haben. Ist das schlecht?

ist so ziemlich das schlechteste, was einem in diesem Zusammenhang passieren kann :smile:

 

[tq1199]

Ich glaube da was von DS-Lite gelesen zu haben.

Dann kann z. Zt. (ohne Umstellung) die Problemlösung, wie bei deinem Bruder, nicht angewendet werden:

Irgendwann hatte ihm ein Mietarbeiter von UM den IPv6 raus genommen und seid dem hat er ruhe.

 

[hendrik_1]

Hallo,

wer neben UM noch eigene VOIP-Accounts angelegt hat, sollte bei diesen dringend das Passwort ändern.

Offenbar haben die Täter nicht nur die Box selbst zum telefonieren genutzt, sondern sich auch VOIP Zugangsdaten gezogen, um dann zeitlich getrennt vom Angriff auf die BOX den VOIP-Account zu kapern. Bei mir ist es jedenfalls so abgelaufen.

Gruß
Hendrik

 

[Phone_Fraud_Analysis]

Dies ist eine Nachricht für Betroffene von Fritzbox-Hacks: Gesucht werden die angerufenen Nummern im Ausland. Wer solche Nummern kennt, möge diese bitte möglichst komplett an uns weiter leiten. In welcher Form das geschehen kann, hängt davon ab, was in diesem Forum erlaubt ist (gibt es hier so etwas wie "Private Nachrichten"?).
Am einfachsten wäre es per Mail (ich könnte auch eine Mailadresse dafür einrichten) oder auch durch einen Beitrag im Forum computerbetrug.de
http://forum.computerbetrug.de/threads/fritz-boxen-als-angriffsziel.45453/page-2#post-376469

Bitte ggf. mit der ermittelnden Polizei oder einem anderen Ansprechpartner absprechen.
Danke.

 

[articfox]

Wurden die UM Kunden eigentlich per eMail oder schriftlich bezüglich diesen hacks informiert?

Ich habe bis dato nix erhalten.

 

[CarNie]

Wurden die UM Kunden eigentlich per eMail oder schriftlich bezüglich diesen hacks informiert?

Ich habe bis dato nix erhalten.

Ich habe auch nichts bekommen. Weder per Mail, noch schriftlich. Und ja, im Spam Ordner habe ich auch nachgesehen.

 

[nick99cgn]

Wurden die UM Kunden eigentlich per eMail oder schriftlich bezüglich diesen hacks informiert?

Ich habe bis dato nix erhalten.

Ich habe auch nichts bekommen. Weder per Mail, noch schriftlich. Und ja, im Spam Ordner habe ich auch nachgesehen.

Ich habe eine Infomail von Unitymedia am 07.02.2014 mit dem Betreff
"Wichtiger Sicherheitshinweis zu Ihrer FRITZ!Box von Unitymedia"erhalten.

 

[tq1199]

Ich habe eine Infomail von Unitymedia am 07.02.2014 mit dem Betreff
"Wichtiger Sicherheitshinweis zu Ihrer FRITZ!Box von Unitymedia"erhalten.

OK, ... welchen Tarif und welche FritzBox hast Du bei bzw. von Unitymedia?

 

[nick99cgn]

Ich habe eine Infomail von Unitymedia am 07.02.2014 mit dem Betreff
"Wichtiger Sicherheitshinweis zu Ihrer FRITZ!Box von Unitymedia"erhalten.

OK, ... welchen Tarif und welche FritzBox hast Du bei bzw. von Unitymedia?

3play 32000 mit Telefon Komfort Option.

 

[Dr.Wahn]

Ich habe ebenfalls eine Infomail von UM bekommen 3 Play 100 Tel Plus.

 

[sebr]

Hier nichts von UM angekommen (3play 50.000).
Es kam auch keine Info vor dem Rollout von 6.00.

 

[M@rtin]

Ich habe auch eine Mail am Freitag Abend des 7.2. erhalten (2 Play 50):
http://www.unitynews.de/u/gm.php?UID=ZJfOkzXm0N&ID=112913542_564189_3849

 

[-Pirat-]

Wurden die UM Kunden eigentlich per eMail oder schriftlich bezüglich diesen hacks informiert?

Ich habe bis dato nix erhalten.

mich hat UM am zweiten Tag angerufen und mir das mit geteilt und auch gleich am Telefon mit mir alles durch gegangen, was ich bei der FritzBox ändern soll.
Das war klasse Service :super: Respekt.

Der Mitarbeiter sagte mir am Telefon, dass nicht alle Kunden tel. erreichbar waren.

 

[tq1199]

Der Mitarbeiter sagte mir am Telefon, dass nicht alle Kunden tel. erreichbar waren.

Ich denke, der Mitarbeiter meinte mit "alle Kunden", die Kunden deren FritzBox zu dem Zeitpunkt gehackt (angegriffen) worden ist und nicht alle Kunden von UMKBW, die eine FritzBox (vom Provider) haben.

 

[sofa-schlaffi]

Auch ich bin heute UM um 17:15 Uhr von UM angerufen worden. Leider ware ich nicht zuhause, doch der Anrufer hat mir eine Nachricht auf dem AB hinterlassen, mit der Bitte, die Seite von AVM zu besuchen und den Anweisungen zu folgen. Außerdem wurden vorsichtshalber abgehende Telefonanrufe in Ausland gesperrt. Meine FRITZ!Box war und ist definitiv nicht "gehackt" und trotzdem wurde ich angefrufen. Toller Service!

 

[tq1199]

Außerdem wurden vorsichtshalber abgehende Telefonanrufe in Ausland gesperrt. Meine FRITZ!Box war und ist definitiv nicht "gehackt" und trotzdem wurde ich angefrufen. Toller Service!

Mit deiner FritzBox ist etwas nicht in Ordnung, wenn abgehende Anrufe ins Ausland gesperrt worden sind.

 

[eazrael]

Business 64 + Telefon. Auch keine Benachrichtigung bekommen. Dafür Spam von ner Unitymedia-Adresse.

 

[eazrael]

Blöde Frage, war der Fernzugriff nicht ne Zeitlang über http-Authentifizierung gesichert?

 

[SpaceRat]

Blöde Frage, war der Fernzugriff nicht ne Zeitlang über http-Authentifizierung gesichert?

War er immer, sogar https.

Es gab aber eben eine Sicherheitslücke (Sprich: Einen Programmierfehler) in der Firmware bzw. dieser Komponente, über die man an die notwendigen Daten für den Login kommen konnte, bzw. bei den Unitymedia-Boxen immer noch kann.

Und statt heute noch Kunden anzurufen hätte Unitymedia besser die korrigierte Firmware ausgerollt. Mieser Service.

 

[hajodele]

Blöde Frage, war der Fernzugriff nicht ne Zeitlang über http-Authentifizierung gesichert?

JEIN - HTTPS ist und war schon immer standardmäßig aktiviert. Allerdings ist es nur ein Haken und schon ist das "S" weg.

 

[SpaceRat]

Blöde Frage, war der Fernzugriff nicht ne Zeitlang über http-Authentifizierung gesichert?

JEIN - HTTPS ist und war schon immer standardmäßig aktiviert. Allerdings ist es nur ein Haken und schon ist das "S" weg.

Blödsinn:

Der "HTTPS-Fernzugang" ist standardmäßig schon immer aus gewesen.
Er kann auch nur als solcher aktiviert werden, also entweder ist die Fritz!Box per https fernwartbar oder gar nicht, per http ging das noch nie.

Was unabhängig vom HTTPS-Fernzugang geht, ist die Konfiguration der Fritz!Box durch ein bestehendes VPN hindurch.
D.h. wenn ein VPN zu einer Fritz!Box besteht, dann ist diese durch den VPN-Tunnel hindurch unter ihrer lokalen IPv4-Adresse auch per http erreichbar, was aber auch keine große Überraschung ist, denn ein VPN stellt ja eben eine Intranet-Verbindung dar und keine Internet-Verbindung,
Das ist aber eine völlig andere Baustelle, weil es sich eben nicht um einen Fernzugang handelt.

 

[johnripper]

Blöde Frage, war der Fernzugriff nicht ne Zeitlang über http-Authentifizierung gesichert?

Ich glaube du meinst die Möglichkeit von HTTP-AUTH.

Ja die gab es mal, diese hat man aber einfach rausgenommen aber der FW 5.50 (glaube, nicht sicher). Schade, denn mit dieser Funktion wäre auch sowas wie "site:myfritz.net" oder "site:superkabel.de" nicht möglich gewesen.

 

[SpaceRat]

Ja die gab es mal, diese hat man aber einfach rausgenommen aber der FW 5.50 (glaube, nicht sicher). Schade, denn mit dieser Funktion wäre auch sowas wie "site:myfritz.net" oder "site:superkabel.de" nicht möglich gewesen.

Wer's nicht kapiert, was johnripper meint:
site:myfritz.net
site:superkabel.de

Aus dem Grunde hat nach dem St.-Floriansprinzip beim aktuellen Hack auch schon gewonnen, wer den Port für die Fernwartung auf einen nicht-standardmäßigen verlegt hat.
Zu hacken sind Fritten mit Nicht-Standard-Port genauso, aber wozu nach Fritz!Boxen auf Non-Standard-Port suchen, wenn man so viele auf Standard-Port auf dem goldenen Tablett serviert bekommt?

 

[johnripper]

Zu hacken sind Fritten mit Nicht-Standard-Port genauso, aber wozu nach Fritz!Boxen auf Non-Standard-Port suchen, wenn man so viele auf Standard-Port auf dem goldenen Tablett serviert bekommt?

Ja richtig.
Ich hatte die FB auf dem Port 450 offen. Zum Zeitpunkt des öffnen des Fernzugangs (Version 5.50 oder früher) war nur eine Portrange bis 450 möglich, den ich dann insoweit ausgenutzt habe. Diese Beschränkung ist dann irgendwann mit OS 5.50+ (??) entfallen.

Insofern hat diese "security by obscurity"-Maßnahme doch etwas gebracht: Vor mir hat es einfach andere getroffen.

 

[tq1199]

Insofern hat diese "security by obscurity"-Maßnahme doch etwas gebracht: Vor mir hat es einfach andere getroffen.

Betr. den Angriff ja, aber nicht was das Finden der ext. IP-Adresse im internet mit "site:myfritz.net" betrifft. Denn im Internet werden mit "site:myfritz.net" auch FritzBoxen angzeigt, die weder auf Port 80 noch auf Port 443 lauschen, sondern z. B. auf Port 81 oder 85 oder irgend ein anderer Port. OK, diese im Internet gefundene Boxen können dann auch nicht gekackt werden, weil sie ja auf Port 443 bzw. auf einem anderen Port mit dem Dienst der für den Port 443 vorgesehen ist, nicht lauschen.