Comunicato ALCEI del 17 giugno 2002

Rischio privacy per vulnerabilità router Telindus 11xx
Un buco nei router ADSL Telindus serie 11xx permette di aquisire senza nessuna dote particolare di “cracking” le password di accesso ai router della famiglia.
ALCEI interviene presso il Garante dei dati personali per chiarimenti e chiede un tempestivo intervento a riguardo.

La nostra lettera al
Garante per la protezione dei dati personali
piazza Montecitorio 121 00186 ROMA
fax 0669677715

Signor Garante,

Apprendiamo che i router serie 11xx prodotti dalla societa’ Telindus sono affetti da una grave vulnerabilita’ che consente, senza alcun artificio o azione di “cracking”, di entrare in possesso della password di accesso al router .
Quindi e’ possibile bloccare il funzionamento dell’apparrato rendendno inacessibili i servizi e, in alcuni casi, accedere alla rete interna dell’utente. Il che consentirebbe di intercettarne la posta elettronica e, piu’ in generale, le informazioni
che ivi sono contenute. Ovviamente il tutto all’insaputa dell’utente.

La gravita’ del problema sta nel fatto che i router Telindus sono
distribuiti dai maggiori operatori telefonici e internet provider che offrono, e fortemente promuovono, accesso su linea ADSL – e quindi sono (o possono essere) largamente diffusi. Di conseguenza, si possono diffondere estesamente e rapidamente i pericoli derivanti da questa “botola” nascosta.

Ci chiediamo – e le chiediamo – come sia possibile che vengano immessi sul mercato apparati affetti da simili vulnerabilita’ per la privacy dei cittadini e per l’attivita’ delle imprese, senza alcun controllo, senza alcuna informazione o cautela, senza assunzione di responsabilita’ da parte di produttori e distributori e senza alcuna protezione per gli indifesi (e ignari) utenti.

Invochiamo pertanto un suo tempestivo intervento e restiamo a disposizione per ogni approfondimento.

Grazie per l’attenzione.
ALCEI

Leggi l’advisory in lingua italiana dal sito Tiger Team