Ring citato in giudizio su telecamere compromesse che hanno esposto la privacy dei bambini

Sfortunatamente, tendiamo a non pensare alle conseguenze quando connettiamo sempre più dispositivi a Internet. L'anno scorso, ad esempio, Ashley LeMay e Dylan Blakeley hanno acquistato un paio di telecamere IP prodotte da Ring e le hanno installate nella loro casa con l'intenzione di usarle come baby monitor. Gli piaceva l'idea che oltre a tenere d'occhio i propri figli, potessero anche usare l'altoparlante della fotocamera per parlare con i propri figli e per un po 'erano abbastanza contenti della loro scelta. Il 4 dicembre, tuttavia, un criminale informatico non identificato è riuscito a hackerare e assumere il controllo delle telecamere di Blakeley. In primo luogo, l'hacker ha giocato po 'di musica da brividi, e in seguito ha parlato con i bambini che, i footage spettacoli, erano terrorizzati.

Pochi giorni dopo, Todd Craig e Tania Amador, una coppia del Texas, si sono trovati in una situazione simile dopo che i loro dispositivi di sorveglianza sono stati hackerati, e ci sono state notizie di altri proprietari di telecamere ad anello che sono stati colpiti dall'attacco. Questi sono tra gli episodi di cibersicurezza più inquietanti che abbiamo visto di recente e, non a caso, la reazione contro Ring è stata significativa.

Potrebbe anche andare peggio, perché, la scorsa settimana, le due coppie, insieme ad altri proprietari di fotocamere ad anello hackerate, hanno annunciato che faranno causa al venditore di proprietà di Amazon. Ma Ring è l'unico responsabile dell'attacco?

Ring ha detto che i suoi sistemi non sono stati violati

Non sorprende che, sulla scia dell'attacco, Ring abbia avviato un'indagine e, nel giro di una settimana, ha annunciato che il brivido che parlava ai bambini di 8 anni attraverso la videocamera di sicurezza di un'altra persona non è mai riuscito a rompere i sistemi di sicurezza del fornitore. Il post sul blog diceva che aveva preso il controllo della telecamera prendendo combinazioni di nome utente e password rubate da un altro servizio e provandole sugli account Ring della vittima. In altre parole, i proprietari di telecamere Ring sono stati colpiti da un attacco di riempimento delle credenziali.

Questa è un'altra prova di quanto siamo negligenti verso le potenziali conseguenze della connessione di un gran numero di gadget a Internet. Riutilizzando le loro password su più di un servizio online, i proprietari delle telecamere compromesse hanno abilitato l'attacco di ripasso delle credenziali e hanno reso la vita degli hacker ancora più semplice non riuscendo a impostare l'autenticazione a due fattori. Alcune settimane dopo l'attacco, alcune password di Ring sono finite in un mercato oscuro del web e si è scoperto che molti di loro erano terribilmente facili da indovinare, il che martella ulteriormente il punto a casa.

In altre parole, anche se hanno ragione a sentirsi arrabbiati per la grave invasione della privacy che hanno dovuto affrontare, anche i proprietari delle telecamere hackerate devono prendersi la loro parte della colpa.

Non è tutto fino al riutilizzo della password

Puoi vedere che l'atteggiamento della gente nei confronti della propria privacy e sicurezza è tutt'altro che ideale, ma questa non è davvero una novità. Il problema esiste da anni ormai e sembra che le persone non siano disposte a mettere insieme i loro atti. Tuttavia, i fornitori di servizi e i fornitori di hardware hanno più di un paio di metodi per allontanare le persone dal fare gli stessi vecchi errori. Possono, ad esempio, imporre regole di password che impedirebbero alle persone di proteggere i propri account con qualcosa di semplice e facile da indovinare come "12345678" e "password". Secondo TechCrunch, tuttavia, è ancora possibile utilizzare queste password anche adesso, quasi due mesi dopo gli incidenti di hacking di dicembre. Il venditore è stato anche criticato per l'utilizzo di messaggi SMS come supporto per password monouso 2FA, che non è l'opzione migliore, soprattutto quando un account compromesso può avere conseguenze così gravi sulla privacy.

A proposito, ci sono altre precauzioni che avrebbero potuto rendere i proprietari dei Ring un po 'più sicuri. Molti servizi online avvisano gli utenti quando i loro account sono accessibili da un dispositivo sconosciuto, ad esempio, e quasi tutti impongono un limite al numero di tentativi di accesso falliti da un singolo IP. Secondo la causa, tuttavia, Ring non ha implementato queste misure.

Se c'è qualcosa che possiamo imparare dall'intero incidente, è che sia i fornitori che gli utenti dispongono di tutti gli strumenti per prevenire semplici attacchi di riempimento delle credenziali ed evitare gravi problemi di privacy. Sfortunatamente, né Ring né i suoi clienti hanno utilizzato questi strumenti e le conseguenze sono state piuttosto orribili.