Enligt uppgift har Verisure (fd Securitas Direct, fd Aroundio), drabbats av Heartbleed-buggen. Tjänsten Mina sidor, från vilken man kan styra sitt larmsystem och tillhörande utrustning, ska ha varit öppen för Heartbleed.
Aktuellt status. Som synes kör
Verisure på OpenSource-webservern Apache, vilket gör det inte helt osannolikt att man använder OpenSSL. |
Verisure ska nu gått ut till sina kunder med uppmaning om att byta lösenord inom 72 timmar, då lösenorden alltså kan vara på vift om buggen använts. Därmed har man exempelvis kunnat ställa in e-postadresser, mobiltelefonnummer, kontaktpersoner för larm mm, vilket har kunnat ge olika attackvektorer för potentiella inbrottstjuvar. Möjligt att man också kan se när ett larm är aktivt, och när kunderna alltså inte är hemma.
Exakt hur stora skada man kan ställt till med om man kommit över lösenord, och om detta skett finns det ingen uppgift om. Verisures kunder har nu 72 timmar på sig att byta lösenord, även om hela Mina sidor just nu verkar nere om man klickar på login.
Tillägg: Har nu själv fått mail från Tradedoubler, som också varit drabbade men nu patchat sitt system. Antagligen kommer medgivandena enligt den felaktiga devisen “security by obscurity” i takt med att man täppt till systemen. Tradedoubler uppmanar dock inte användarna att byta lösenord, likt Verisure.
4 kommentarer
Provade att gå in på verisure och ändra passord, vilket till slut efter en evig väntan lyckades. Fast nu känns den varken vid det gamla eller det nya passordet, och nu är jag utelåst för att skrivit fel 3 ggr. Verkar som att servern är lite överbelastad…
OT, men Black Pearl har gått upp drygt 13% på en vecka. Kommentar?
"Verisure uppdaterar alla Mina Sidor-konton för att förbättra säkerheten med anledning av den internationellt omtalade Heartbleed-buggen. Som en konsekvens av detta ber vi våra kunder att ändra sina lösenord till Mina Sidor." – Verisure.
Aha, då förstår jag att deras server var överlastad…
intressant!