Frage

A1 Backdoor Passwort

  • 1 Februar 2019
  • 4 Antworten
  • 1106 Ansichten

Benutzerebene 3
Abzeichen
Wann hat A1 eigentlich vor dieses ~ 10 Jahre alte backdoor Password bei den Routern zu ändern bzw. zu entfernen?

https://unlocka1.wordpress.com/tag/telek0m/

User:
PW:

Dies funktioniert noch mit den neusten Modellen und mit etwas reversen von der Firmware findet man sogar heraus, dass dieser Account mehr rechte hat als der "admin" Account.

Führ was wird dieses überhaupt benutzt?

Ps. Gibt es schon eine E-Mail für sicherheitsrelevante Themen bei A1?

4 Antworten

Benutzerebene 7
Abzeichen +3
Es gibt mehr so Sachen.
Der hat Zugriff über WAN (VLAN2) auf das WebUI.
Jedoch gibt es dazu eine Whitelist:

https://www.a1community.net/modem-festnetz-hardware-315/hybrid-modem-dmz-sicherheitsproblem-mit-ipv6-adressen-250301

Ja dafür gibt es eine EMail.
Ich bin seit einem Jahr mit denen in Kontakt.
Benutzerebene 7
Abzeichen +2
] dass es einen "geheimen" User gibt, ist ja nicht allzu geheim, trotzdem wollen wir den hier oder anderswo nicht veröffentlichen, also bitte davon Abstand zu nehmen. Unter anderem dient der dazu, dass Service Techniker vor Ort Konfigurationen am Modem vornehmen können. Edit A1_Hermann Eine E-Mail für sicherheitsrelevante Themen gibt es zwar - die ist ausschließlich für Abuse Themen gedacht, Wenn dir etwas anderes auffällt, was sicherheitsrelevant ist und keine Serviceanfrage, schreib uns via www.A1.net/chat oder per https://m.me/a1fanpage , oder außerhalb unserer Öffnungszeiten ab 22 Uhr über das Kontaktformular auf www.A1.net/kontakt. Oder gerne auch per DM via Twitter lg Hermann Edit: Korrektur bezüglich Emailadresse - hierfür haben wir keine direkte Emailadresse aktuell
Benutzerebene 7
Abzeichen +2
Der "geheime" Superuser hat mittlerweile kaum mehr recht als der Admin, in erster Linie kommen nur die Option für die Konfig MU/SU/VoB hinzu.

Und "geheim" ist er auch schon lange nicht mehr, also hat man ihn anderweitig entschärft...
Benutzerebene 3
Abzeichen
Hallo @A1_Hermann ,

@jo93
Ich habe Antwort bekommen und es gibt seit neustem https://www.a1.net/responsible-disclosure
bzw.
E-Mail: responsible-disclosure [at] a1 [dot] at
PGP Key ID: 815E 60A5 198E 2D70 9F78 A9DB 0E53 AE86 48D4 6C74

Dabei ist auch die Meldung dabei, dass die Backdoor eine Sicherheitsluecke ist und eine Beheben moeglichst schnell umgesetzt wird.

Antworten