子供のプライバシーを暴露したハッキングされたカメラでリングが訴えられる
残念ながら、インターネットにますます多くのデバイスを接続しているときの結果については考えない傾向があります。たとえば、昨年、Ashley LeMayとDylan Blakeleyは、リング製のIPカメラをいくつか購入し、それらをベビーモニターとして使用する目的で自宅に設置しました。彼らは、子供たちに目を光らせるだけでなく、カメラのスピーカーを使って子供たちと話すこともでき、しばらくの間、彼らの選択にかなり満足しているという考えが好きでした。しかし、12月4日、正体不明のサイバー犯罪者が、Blakeleyのカメラをハッキングして制御することができました。最初に、ハッカーは不気味な音楽を演奏し、後で映像ショーが怖がっている子供たちに話しました。
数日後、テキサスのカップルであるトッドクレイグとタニアアマドールは、監視デバイスがハッキングされた後、同様の状況に陥り、他のリングカメラ所有者が攻撃に遭ったという報告がありました。これらは私たちが最近見た最も不気味なサイバーセキュリティ事件の一つであり、そして驚くことではないが、リングに対する反発は著しい。
しかし、先週、ハッキングされたリングカメラの他の所有者と一緒に、2人のカップルがAmazonが所有するベンダーを告訴すると発表したため、事態はさらに悪化する可能性があります。しかし、リングは攻撃に対して単独で責任を負いますか?
リングは、システムが侵害されていないと述べました
驚くことではありませんが、攻撃を受けてリングは調査を開始し、約1週間以内に、他の人のセキュリティカメラを通して8歳の子供に話しかけたクリープが、実際にはベンダーのセキュリティシステムを破ることができなかったことを発表しました。ブログの投稿によると、彼は別のサービスから盗まれたユーザー名とパスワードの組み合わせを取得し、被害者の指輪アカウントでそれらを試すことでカメラを制御したという。言い換えれば、リングカメラの所有者は、クレデンシャルスタッフィング攻撃に見舞われました 。
これは、多数のガジェットをインターネットに接続することの潜在的な結果に対して、私たちがいかに怠慢であるかの別の証拠です。ハッキングされたカメラの所有者は、複数のオンラインサービスでパスワードを再利用することで、クレデンシャルスタッフィング攻撃を可能にし、2要素認証の設定に失敗することでハッカーの生活をさらに容易にしました。攻撃の数週間後、いくつかのRingパスワードが暗いWebマーケットプレイスで見つかり、それらの多くが恐ろしく推測しやすいことが判明しました。
言い換えれば、彼らが対処しなければならなかったプライバシーの重大な侵略について怒りを感じるのは正しいが、ハッキングされたカメラの所有者も責任を負わなければならない。
パスワードの再利用だけではありません
自分のプライバシーとセキュリティに対する人々の態度は理想からかけ離れていることがわかりますが、これは本当にニュースではありません。問題は何年も前から存在しており、人々は自分たちの行動を一緒にしたくないだけのようです。ただし、サービスプロバイダーとハードウェアベンダーには、同じ古い間違いを犯さないようにするための方法がいくつかあります。たとえば、「12345678」や「password」のような単純で推測しやすいものでアカウントを保護することを阻止するパスワード規則を課すことができます。ただし、 TechCrunchによると、12月のハッキングインシデントの2か月後、今でもこれらのパスワードを使用できます。ベンダーは、SMSメッセージを2FAワンタイムパスワードの媒体として使用することも批判されました。これは 、特に侵害されたアカウントがプライバシーに深刻な影響を与える可能性がある場合、最良の選択肢ではありません 。
そういえば、リングの所有者をもう少し安全に保つことができる他の予防策があります。たとえば、多くのオンラインサービスは、不明なデバイスからアカウントにアクセスしたときにユーザーに警告し、ほとんどすべてのオンラインサービスは、単一のIPからのログイン試行の失敗回数に制限を課しています。しかし、訴訟によると、リングはこれらの措置を実施しなかった。
インシデント全体から学べることがあれば、ベンダーとユーザーの両方が、単純なクレデンシャルスタッフィング攻撃を防ぎ、深刻なプライバシー問題を回避するためのすべてのツールを持っているということです。残念ながら、Ringもその顧客もこれらのツールを使用していなかったため、結果は非常に恐ろしいものでした。