Ring Sued Over Hacked Κάμερες που εκτίθενται σε ιδιωτικό απόρρητο των παιδιών
Δυστυχώς, έχουμε την τάση να μην σκεφτόμαστε τις συνέπειες όταν συνδέουμε όλο και περισσότερες συσκευές στο Διαδίκτυο. Πέρυσι, για παράδειγμα, οι Ashley LeMay και Dylan Blakeley αγόρασαν κάποιες κάμερες IP που κατασκευάζει η Ring και τις εγκατέστησαν στο σπίτι τους με σκοπό να τις χρησιμοποιήσουν ως μόνιτορ μωρών. Τους άρεσε η ιδέα ότι εκτός από το να παρακολουθούν τα παιδιά τους, μπορούν επίσης να χρησιμοποιήσουν το ηχείο της κάμερας για να μιλήσουν με τα παιδιά τους και για λίγο ήταν αρκετά ικανοποιημένοι από την επιλογή τους. Ωστόσο, στις 4 Δεκεμβρίου, ένας μη αναγνωρισμένος κυβερνοεγκληματίας κατάφερε να αποκρούσει και να πάρει τον έλεγχο των φωτογραφικών μηχανών του Blakeley. Πρώτον, ο χάκερ έπαιξε κάποια ανατριχιαστική μουσική και αργότερα μίλησε στα παιδιά που, όπως δείχνουν τα footage, τρομοκρατήθηκαν.
Λίγες μέρες αργότερα, οι Todd Craig και Tania Amador, ζευγάρι από το Τέξας, βρήκαν τον εαυτό τους σε μια παρόμοια κατάσταση, αφού οι συσκευές παρακολούθησης τους χάθηκαν και υπήρξαν αναφορές άλλων ιδιοκτητών κάμερας Ring που χτυπήθηκαν από την επίθεση. Αυτά είναι ένα από τα πιο έξυπνα περιστατικά ασφάλειας του κυβερνοχώρου που έχουμε δει πρόσφατα και, δεν αποτελεί έκπληξη, ότι η αντίδραση κατά του Ring ήταν σημαντική.
Θα μπορούσε όμως πολύ χειρότερα να γίνει χειρότερο, επειδή, την περασμένη εβδομάδα, τα δύο ζευγάρια, μαζί με άλλους ιδιοκτήτες φωτογραφικών μηχανών με δακτυλιές, ανακοίνωσαν ότι θα δικάσουν τον πωλητή που είναι ιδιοκτήτης του Αμαζονίου. Αλλά η Ring είναι αποκλειστικά υπεύθυνη για την επίθεση;
Ο δακτύλιος είπε ότι τα συστήματά του δεν παραβιάστηκαν
Δεν αποτελεί έκπληξη το γεγονός ότι, μετά την επίθεση, ο Ring ξεκίνησε έρευνα και μέσα σε περίπου μια εβδομάδα ανακοίνωσε ότι ο ερπυσμός που μίλησε σε παιδιά ηλικίας 8 ετών μέσω κάμερας ασφαλείας κάποιου άλλου δεν κατάφερε ποτέ να σπάσει τα συστήματα ασφαλείας του πωλητή. Η δημοσίευση στο blog ανέφερε ότι ανέλαβε τον έλεγχο της κάμερας, λαμβάνοντας κλέφτες με όνομα χρήστη και κωδικό πρόσβασης κλεμμένους από άλλη υπηρεσία και δοκιμάζοντάς τους στους λογαριασμούς Ring του θύματος. Με άλλα λόγια, οι ιδιοκτήτες φωτογραφικών μηχανών Ring χτυπήθηκαν από μια επίθεση γέμισμα πιστοποίησης.
Αυτό αποτελεί ακόμη μια απόδειξη για το πώς είμαστε αμέλεια όσον αφορά τις πιθανές συνέπειες της σύνδεσης μεγάλου αριθμού συσκευών στο Διαδίκτυο. Επαναχρησιμοποιώντας τους κωδικούς πρόσβασης σε περισσότερες από μία ηλεκτρονικές υπηρεσίες, οι ιδιοκτήτες των hacked φωτογραφικών μηχανών επέτρεψαν την επίθεση γεμίσματος credential και έκαναν ακόμα πιο εύκολη τη ζωή των χάκερ, επειδή δεν κατάφεραν να δημιουργήσουν επαλήθευση δύο παραγόντων. Λίγες εβδομάδες μετά την επίθεση, ορισμένοι κωδικοί δακτυλίων κατέληξαν σε μια σκοτεινή διαδικτυακή αγορά και αποδείχθηκε ότι πολλοί από αυτούς ήταν τρομερά εύκολο να μαντέψουν, γεγονός που σπρώχνει το σημείο στο σπίτι ακόμη περισσότερο.
Με άλλα λόγια, παρόλο που έχουν δίκιο να αισθάνονται θυμωμένοι για τη γενική εισβολή της ιδιωτικής ζωής που έπρεπε να αντιμετωπίσουν, οι ιδιοκτήτες των hacked φωτογραφικών μηχανών πρέπει επίσης να πάρουν το μερίδιό τους από την ευθύνη.
Δεν είναι όλα κάτω για την επαναχρησιμοποίηση του κωδικού πρόσβασης
Μπορείτε να δείτε ότι η στάση των ανθρώπων απέναντι στη δική τους προστασία της ιδιωτικής τους ζωής και της ασφάλειας δεν είναι καθόλου ιδανική, αλλά αυτό δεν είναι πραγματικά νέα. Το πρόβλημα έχει υπάρξει εδώ και χρόνια και φαίνεται ότι οι άνθρωποι απλώς δεν είναι διατεθειμένοι να συνεννοηθούν. Οι πάροχοι υπηρεσιών και οι πωλητές υλικού έχουν περισσότερες από μερικές μεθόδους για να ωθούν τους ανθρώπους μακριά από την ίδια παλιά λάθη. Μπορούν, για παράδειγμα, να επιβάλουν κανόνες κωδικού πρόσβασης που θα εμπόδιζαν τους ανθρώπους να προστατεύουν τους λογαριασμούς τους με κάτι απλό και εύκολο να μαντέψουν όπως "12345678" και "κωδικός πρόσβασης". Ωστόσο, σύμφωνα με την TechCrunch, εξακολουθείτε να χρησιμοποιείτε αυτούς τους κωδικούς πρόσβασης ακόμα και τώρα, σχεδόν δύο μήνες μετά τα επεισόδια πειρατείας του Δεκεμβρίου. Ο πωλητής κατηγορήθηκε επίσης ότι χρησιμοποίησε μηνύματα SMS ως μέσο για έναν κωδικό πρόσβασης 2FA, ο οποίος δεν είναι η καλύτερη επιλογή, ειδικά όταν ένας συμβιβασμένος λογαριασμός μπορεί να έχει σοβαρές συνέπειες για την προστασία της ιδιωτικής ζωής.
Μιλώντας για αυτό, υπάρχουν και άλλες προφυλάξεις που θα μπορούσαν να έχουν κρατήσει τους ιδιοκτήτες των δαχτυλιδιών λίγο πιο ασφαλείς. Πολλές επιγραμμικές υπηρεσίες ειδοποιούν τους χρήστες όταν οι λογαριασμοί τους έχουν πρόσβαση από μια άγνωστη συσκευή, για παράδειγμα, και σχεδόν όλοι τους επιβάλλουν ένα όριο στον αριθμό των αποτυχημένων προσπαθειών σύνδεσης από μία μόνο IP. Ωστόσο, σύμφωνα με την αγωγή, ο Δακτύλιος δεν εφάρμοσε τα μέτρα αυτά.
Αν υπάρχει κάτι που μπορούμε να μάθουμε από όλο το περιστατικό, είναι ότι τόσο οι πωλητές όσο και οι χρήστες έχουν όλα τα εργαλεία για να αποτρέψουν απλές επιθετικές γέμισμα και να αποφύγουν σοβαρά προβλήματα ιδιωτικής ζωής. Δυστυχώς, ούτε ο δακτύλιος ούτε οι πελάτες του χρησιμοποιούσαν αυτά τα εργαλεία και οι συνέπειες ήταν αρκετά τρομακτικές.