Amazon Ring Neighbours expose les données client
Un problème de sécurité important avec l'application Ring Neighbours appartenant à Amazon a révélé l'emplacement exact et l'adresse du domicile des utilisateurs. La fuite fait suite à l'incident de piratage de la caméra Ring à la fin de 2020 qui a conduit les utilisateurs à lancer un recours collectif contre Ring.
Ring a été acquis par Amazon en 2018 - la même année où la société a lancé Neighbours en tant qu'application distincte. Selon la propre description de l'application, elle permet aux utilisateurs de «recevoir en temps réel des alertes en matière de criminalité et de sécurité des voisins et des forces de l'ordre locales».
Le problème de sécurité avec l'application Neighbours a permis aux acteurs malveillants d'acquérir les données de localisation des utilisateurs qui ont soumis des rapports et publiés dans l'application - un acte qui est normalement effectué sans divulguer l'emplacement exact. Le problème a amené l'application à extraire les coordonnées exactes des personnes soumettant les rapports, directement à partir des serveurs Ring.
Le problème était encore compliqué par le fait que chaque message d'utilisateur se voyait attribuer une valeur numérique qui était incrémentée pour les nouveaux messages. Ce type de configuration permettait de récupérer relativement facilement les données de localisation des affiches précédentes, même si elles ne se trouvaient pas dans le même quartier.
Ring a fait une déclaration, informant que le bogue avait été corrigé, ainsi que les assurances habituelles sur le sérieux des politiques de l'entreprise en matière de sécurité des utilisateurs.
Ring a de nouveau été critiqué à la fin de 2020, lorsque des gens ont intenté un recours collectif contre l'entreprise. La poursuite allègue des mesures de sécurité insuffisantes installées et appliquées avec des caméras Ring.
Ring avait déjà publié une déclaration quelque peu controversée, que beaucoup considéraient comme rejetant le blâme sur les utilisateurs finaux pour ne pas avoir activé l'authentification à deux facteurs sur leurs appareils, même s'ils auraient pu.
La MFA a ensuite été appliquée à tous les utilisateurs de l'application. Cela s'est produit à la suite de la découverte que des pirates informatiques travaillaient sur des outils dédiés utilisés pour pirater des comptes Ring et voler des informations d'identification et qu'un morceau de plus de 1000 mots de passe utilisateur a été divulgué en ligne.