Žiedas kreipėsi į teismą dėl nulaužtų kamerų, atskleidžiančių vaikų privatumą
Deja, mes linkę negalvoti apie pasekmes, kai vis daugiau įrenginių jungiame prie interneto. Pavyzdžiui, pernai Ashley LeMay ir Dylanas Blakeley nusipirko keletą „Ring“ pagamintų IP kamerų ir sumontavo jas savo namuose ketindami naudoti kaip kūdikių stebėtojus. Jiems patiko mintis, kad ne tik stebėdami savo vaikus, bet ir naudodamiesi fotoaparato garsiakalbiu, jie gali kalbėtis su vaikais, o kurį laiką buvo gana patenkinti savo pasirinkimu. Gruodžio 4 d., Tačiau nenustatytam elektroniniam kriminalistui pavyko įsilaužti ir užvaldyti Blakeley kameras. Pirma, įsilaužėlis grojo šiek tiek Creepy muzikos, ir jis vėliau kalbėjo vaikai, kurie, filmuotą medžiagą rodo, išsigando.
Po kelių dienų Toddas Craigas ir Tania Amador, pora iš Teksaso, atsidūrė panašioje situacijoje po to, kai jų stebėjimo prietaisai buvo nulaužti, ir buvo pranešimų, kad kiti „Ring“ fotoaparatų savininkai nukentėjo nuo išpuolio. Tai yra vieni iš slapčiausių kibernetinio saugumo incidentų, kuriuos matėme pastaruoju metu, ir, nenuostabu, „Ring“ atgarsis buvo reikšmingas.
Vis dėlto gali labai pablogėti, nes praėjusią savaitę abi poros kartu su kitais nulaužtų „Ring“ kamerų savininkais paskelbė, kad jie pareikš ieškinį „Amazon“ priklausančiam pardavėjui. Tačiau ar už išpuolį atsakingas tik Ringis?
Ringis teigė, kad jos sistemos nebuvo pažeistos
Nenuostabu, kad po užpuolimo „Ring“ pradėjo tyrimą ir maždaug per savaitę paskelbė, kad šliaužtininkas, kalbėjęs 8-mečiams per kito asmens apsaugos kamerą, niekada nesugebėjo sugadinti pardavėjo apsaugos sistemų. Tinklaraščio įraše teigiama, kad jis perėmė kameros valdymą paimdamas iš kitos tarnybos pavogtus vartotojo vardo ir slaptažodžio derinius ir bandydamas juos aukos „Ring“ paskyrose. Kitaip tariant, „Ring“ fotoaparatų savininkus užklupo kredencialų įdaro ataka.
Tai yra dar vienas įrodymas, kad aplaidžiai žiūrime į galimas daugybės įtaisų prijungimo prie interneto pasekmes. Pakartotinai panaudodami slaptažodžius ne vienoje internetinėje tarnyboje, nulaužtų fotoaparatų savininkai leido įvykdyti prisijungimo duomenis, ir įsilaužėlių gyvenimas tapo dar lengvesnis, nes nebuvo nustatytas dviejų veiksnių autentifikavimas. Praėjus kelioms savaitėms po išpuolio, kai kurie „Ring“ slaptažodžiai pasibaigė tamsioje internetinėje prekyvietėje, ir paaiškėjo, kad daugelį jų buvo bauginančiai lengva atspėti, o tai dar labiau sutrukdo namus.
Kitaip tariant, nors jie teisūs ir pykstasi dėl šiurkštaus privatumo pažeidimo, su kuriuo jie turėjo susidurti, nulaužtų kamerų savininkai taip pat turi prisiimti dalį kaltės.
Viskas dar ne tik dėl pakartotinio slaptažodžio naudojimo
Galite pastebėti, kad žmonių požiūris į savo privatumą ir saugumą toli gražu nėra idealus, tačiau tai tikrai nėra naujiena. Problema egzistuoja jau daugelį metų ir atrodo, kad žmonės tiesiog nenori susitaikyti. Vis dėlto paslaugų teikėjai ir techninės įrangos pardavėjai turi daugiau nei keletą būdų, kaip priversti žmones nutolti nuo tų pačių senų klaidų. Pavyzdžiui, jie gali nustatyti slaptažodžio taisykles, kurios neleistų žmonėms apsaugoti savo paskyrų paprastu ir lengvai atspėjamu dalyku, pavyzdžiui, „12345678“ ir „slaptažodžiu“. Pasak „TechCrunch“, vis tiek galite naudoti šiuos slaptažodžius net ir dabar, praėjus beveik dviem mėnesiams po gruodžio mėnesio įsilaužimo įvykių. Pardavėjas taip pat buvo kritikuojamas už tai, kad SMS žinutes naudoja kaip 2FA vienkartinių slaptažodžių laikmeną, o tai nėra pats geriausias pasirinkimas, ypač kai sąskaita, kuriai yra pakenkta, gali turėti tokių rimtų padarinių privatumui.
Kalbant apie tai, yra ir kitų atsargumo priemonių, kurios „Ring“ savininkus galėjo išlaikyti kiek saugesnius. Daugelis internetinių paslaugų įspėja vartotojus, kai jų sąskaitos pasiekiamos iš nežinomo įrenginio, pavyzdžiui, ir beveik visos iš jų nustato nepavykusių prisijungimo bandymų iš vieno IP skaičių. Tačiau, remiantis teismo procesu, Ringis šių priemonių neįgyvendino.
Jei mes galime ko nors išmokti iš viso įvykio, tai tiek pardavėjai, tiek vartotojai turi visas priemones, skirtas užkirsti kelią paprastiems kredencialų įdaro išpuoliams ir išvengti rimtų privatumo problemų. Deja, nei „Ring“, nei jo klientai šiais įrankiais nenaudojo, o pasekmės buvo gana siaubingos.