Ring sagsøges over hacket kameraer, der afslørede børns privatliv

Desværre har vi en tendens til ikke at tænke over konsekvenserne, når vi tilslutter flere og flere enheder til internettet. Sidste år købte Ashley LeMay og Dylan Blakeley for eksempel et par IP-kameraer fremstillet af Ring og installerede dem i deres hus med det formål at bruge dem som babymonitorer. De kunne godt lide ideen om, at de udover at holde øje med deres børn også kan bruge kameraets højttaler til at tale med deres børn, og i et stykke tid var de temmelig tilfredse med deres valg. Den 4. december lykkedes det imidlertid en uidentificeret cyberkriminel at hacke og tage kontrol over Blakeleys kameraer. Først hackeren spillede nogle uhyggelig musik, og han senere talte til de børn, der har optagelser viser, var rædselsslagen.

Et par dage senere befandt Todd Craig og Tania Amador, et par fra Texas sig sig i en lignende situation, efter at deres overvågningsenheder blev hacket, og der var rapporter om, at andre ringekameraejere blev ramt af angrebet. Dette er blandt de mest uhyggelige cybersikkerhedshændelser, vi har set for nylig, og ikke overraskende har tilbageslaget mod Ring været betydelig.

Det kunne dog meget godt blive værre, for i de sidste uger annoncerede de to par sammen med andre ejere af hacket Ring-kameraer, at de ville sagsøge den Amazon-ejede sælger. Men er Ring alene ansvarlig for angrebet?

Ring sagde, at dens systemer ikke blev brudt

Ikke overraskende indledte Ring i kølvandet på angrebet en efterforskning, og inden for en uges tid meddelte den, at krybben, der talte med 8-årige gennem en anden persons sikkerhedskamera, aldrig faktisk formåede at bryde sælgers sikkerhedssystemer. Blogindlægget sagde, at han tog kontrol over kameraet ved at tage brugernavn og adgangskodekombinationer stjålet fra en anden tjeneste og prøve dem på offerets Ring-konti. Med andre ord blev ringekameraejere ramt af et legitimationsudstoppningsangreb.

Dette er endnu et bevis på, hvor uagtsom vi er over for de potentielle konsekvenser af at forbinde et stort antal gadgets til internettet. Ved at genbruge deres adgangskoder på mere end en online-tjeneste aktiverede ejerne af de hacket kameraer legitimationsudstoppningsangrebet, og de gjorde hackernes liv endnu lettere ved ikke at konfigurere tofaktorautentisering. Få uger efter angrebet endte nogle Ring-adgangskoder på en mørk webmarked, og det viste sig, at mange af dem var skræmmende let at gætte, hvilket hamrer punktet hjem endnu længere.

Med andre ord, selvom de har ret i at føle sig vrede over den grove invasion af privatliv, de var nødt til at tackle, skal ejerne af de hacket kameraer også tage deres del af skylden.

Det er ikke alt sammen til genbrug af adgangskode

Du kan se, at folks holdning til deres eget privatliv og sikkerhed langt fra er ideel, men dette er ikke rigtig nyheder. Problemet har eksisteret i årevis nu, og det ser ud til, at folk bare ikke er villige til at få deres handling sammen. Tjenesteudbydere og hardwareleverandører har dog mere end et par metoder til at skubbe folk væk fra at begå de samme gamle fejl. De kan for eksempel indføre kodeordregler, der forhindrer folk i at beskytte deres konti med noget enkelt og let at gætte som "12345678" og "adgangskode." Ifølge TechCrunch kan du dog stadig bruge disse adgangskoder selv nu, tæt på to måneder efter december's hackinghændelser. Sælgeren blev også kritiseret for at bruge SMS-beskeder som et medium til 2FA-engangsadgangskoder, hvilket ikke er den bedste mulighed, især når en kompromitteret konto kan have så alvorlige personlige konsekvenser.

Apropos der er andre forholdsregler, der kunne have holdt ringeejere lidt mere sikre. Mange onlinetjenester advarer brugere, når deres konti f.eks. Fås adgang fra en ukendt enhed, og næsten alle indfører en grænse for antallet af mislykkede loginforsøg fra en enkelt IP. Ifølge retssagen gennemførte Ring imidlertid ikke disse foranstaltninger.

Hvis der er noget, vi kan lære af hele hændelsen, er det, at både leverandører og brugere har alt det, der er værktøjer til at forhindre enkle legitimationsudstoppningsangreb og undgå alvorlige privatlivsproblemer. Desværre brugte hverken Ring eller dets kunder disse værktøjer, og konsekvenserne var ret forfærdelige.