Amazon Ring Neighbors eksponerer kundedata

Et betydelig sikkerhetsproblem med den Amazon-eide Ring Neighbors-appen avslørte brukernes nøyaktige plassering og hjemmeadresse. Lekkasjen kommer i hælene på slutten av 2020 Ring kamera hack hendelse som førte til at brukere lanserte en class action dress mot Ring.

Ring ble kjøpt opp av Amazon tilbake i 2018 - samme år da selskapet lanserte Neighbors som en egen app. I følge appens egen beskrivelse tillater den brukere å "få kriminalitets- og sikkerhetsvarsler i sanntid fra naboer og lokal politimyndighet".

Sikkerhetsproblemet med Neighbors-appen tillot dårlige skuespillere å skaffe seg lokasjonsdata for brukere som sendte inn rapporter og postet i appen - en handling som vanligvis gjøres uten å oppgi nøyaktig plassering. Problemet fikk applikasjonen til å trekke ut de nøyaktige koordinatene til personer som sendte inn rapportene, rett fra Ring-serverne.

Problemet ble ytterligere komplisert av det faktum at hvert brukerinnlegg ble tildelt en numerisk verdi som ble økt for nye innlegg. Denne typen oppsett gjorde det relativt enkelt å snappe lokasjonsdata fra tidligere plakater, selv om de ikke var i samme nabolagsområde.

Ring kom med en uttalelse og informerte om at feilen var løst, sammen med de vanlige forsikringene om hvor alvorlig selskapets policyer er når det gjelder brukersikkerhet.

Ring kom under skudd igjen i slutten av 2020, da folk tok opp en gruppesøksmål mot selskapet. Saken påstår utilstrekkelige sikkerhetstiltak installert og håndhevet med Ring-kameraer.

Ring hadde tidligere kommet ut med en noe kontroversiell uttalelse, som mange oppfattet som å overføre skylden til sluttbrukerne for ikke å ha aktivert tofaktorautentisering på enhetene sine, selv om de kunne ha gjort det.

MFA ble senere håndhevet for alle brukere i applikasjonen. Dette skjedde i kjølvannet av oppdagelsen at hackere jobbet med dedikerte verktøy som ble brukt til å knekke Ring-kontoer og stjele legitimasjon, og en del på over 1000 brukerpassord ble lekket online.