La compañía EE confirmó los reportes sobre un problema de seguridad en su router Bright Box, dicha falla podría ser utilizada para exponer información personal del propietario del equipo.

El investigador Scott Helme dio a conocer esta vulnerabilidad mediante una publicación detallada en su blog, explicando que descubrió el problema después de que comenzó a usar el servicio de banda ancha que ofrece la compañía EE, en la cual se incluye un router Bright Box.

Helme mencionó que "el ingeniero vino e instaló el sistema de fibra óptica y, al igual que con todos los dispositivos nuevos en mi red, decidí echar un vistazo al tráfico hacia y desde el dispositivo." "Se hizo evidente que el router permitía la divulgación de gran cantidad de datos confidenciales que eran visibles para cualquier dispositivo conectado a la red. Además, la falla también podía explotarse de forma remota", añadió.

Explicó que esta vulnerabilidad podría tener graves repercusiones ya que "da a conocer la contraseña del titular de la cuenta de EE, lo que permitiría, entre otras cosas, llamar al personal de EE y cancelar el paquete de banda ancha de alguien más." Como respuesta a la afirmación anterior, la empresa de comunicaciones mencionó que cancelar una cuenta requiere más que un usuario o una cuenta de correo electrónico.

La firma reconoció los problemas de seguridad presentes en su router, sin embargo, restó importancia a la gravedad de los mismos, ya que planea emitir una actualización de firmware para todos sus clientes.

La compañía recomendó a todos los clientes de banda ancha, que "sólo den acceso a la red a personas de confianza. Así como sospechar de páginas web y correos no solicitados, además de mantener actualizado el software de seguridad".

"Tomamos con seriedad cualquier cuestión de seguridad. Ningún dato personal se verá comprometido. Nos gustaría tranquilizar a los clientes informando que estamos trabajando en una actualización que será emitida en breve y que permitirá actualizar de forma remota y automática los routers Bright Box."

Aunque se menciona que la actualización pronto será liberada, Helme indica en su publicación que informó al CEO y CTO de EE respecto a esta vulnerabilidad y que se le indicó que la actualización estaría disponible en diciembre, situación que no ocurrió, por lo cual el investigador se vio obligado a hacer público el fallo de seguridad.