Das BSI hat die Sicherheitslücke mit der zweithöchsten Risikostufe überhaupt bewertet. Die Schwachstelle liegt bei der sogenannten WPS-Konfiguration. Eigentlich soll WPS es Nutzern vereinfachen, ihren neu gekauften Router zu konfigurieren. Auf vielen WPS-Geräten klebt dazu eine Folie mit einer aufgedruckten achtstelligen PIN. Will man sich von seinem Computer aus beim Router einloggen, um Einstellungen zu ändern, muss man diese PIN eintippen. Bei den von Vodafone ausgegebenen EasyBox-Routern können allerdings Angreifer in Reichweite des W-LANs die Standard-WPS-PIN sowie das Passwort ermitteln und so Zugriff auf das interne Netz erlangen. Die Folgen können gravierend sein: Die Angreifer können für die Besitzer unbemerkt deren Internetanbindung mitnutzen – zum Beispiel zum Herunterladen oder Anbieten illegaler Daten. Angreifer können auch Daten im Netzwerk ausspähen, Logins oder ähnlich sensible Informationen mitschneiden.
Das BSI empfiehlt Easybox-Besitzern folgende Maßnahmen: Die vorgegebene WPS-Pin ändern, WPS generell deaktivieren oder das W-LAN-Passwort ändern. Vodafone teilte dem Spiegel mit, welche EasyBox-Geräte betroffen sind. Man könne dies anhand der ersten vier Zeichen der Seriennummer („Rxxx“) feststellen. Betroffen seien Geräte mit Seriennummern, die mit „R134“ oder kleiner beginnen, also auch R121, R034. Vodafone entwickele nun eine neue Firmware für die älteren Boxen.
