Costantino i router di un operatore sono apparati critici, transita il traffico di tutti gli utenti (semplificando). L'interfaccia web del router non è sicura, è facilmente attaccabile con brute force ed è suscettibile ad altre vulnerabilità che inevitabilmente sono presenti nelle interfacce di gestione via web. Per dire gli attacchi DDoS che riceviamo su questo forum provengono anche da IP che sono router Mikrotik, che guarda caso hanno l'interfaccia web aperta verso Internet.
Oltretutto espongono la GUI in HTTP, quindi se la usano veramente la password transita in chiaro attraverso Internet.
Impostare delle policy restrittive sull'accesso remoto è una cosa di base, e Fibra.city non lo fa su nessun router a quanto pare. Quindi non è una svista ma altro...