Ring saksøkt over hacket kameraer som avslørte barns personvern
Dessverre pleier vi ikke å tenke på konsekvensene når vi kobler flere og flere enheter til internett. I fjor kjøpte Ashley LeMay og Dylan Blakeley for eksempel et par IP-kameraer produsert av Ring og installerte dem i huset sitt med den hensikt å bruke dem som babymonitorer. De likte ideen om at de i tillegg til å holde et øye med barna sine, også kan bruke kameraets høyttaler for å snakke med barna sine, og i en periode var de ganske fornøyde med valget. 4. desember klarte imidlertid en uidentifisert nettkriminell å hacke og ta kontroll over Blakeleys kameraer. Først spilte hacker noen skumle musikk, og han senere snakket med barna som de opptakene viser, ble vettskremt.
Noen dager senere befant Todd Craig og Tania Amador, et par fra Texas, seg i en lignende situasjon etter at overvåkningsenhetene deres ble hacket, og det var rapporter om andre Ring-kameraeiere som ble rammet av angrepet. Dette er blant de skumleste cybersikkerhetshendelsene vi har sett i det siste, og ikke overraskende har tilbakeslaget mot Ring vært betydelig.
Det kan imidlertid godt bli verre, for forrige uke kunngjorde de to parene sammen med andre eiere av hackede Ring-kameraer at de vil saksøke den Amazon-eide leverandøren. Men er Ring eneansvarlig for angrepet?
Ring sa at systemene ikke ble brutt
Ikke overraskende startet Ring i kjølvannet av angrepet en etterforskning, og i løpet av en drøy uke kunngjorde den at krypet som snakket med 8-åringer gjennom en annen persons sikkerhetskamera, faktisk aldri klarte å bryte leverandørens sikkerhetssystemer. Blogginnlegget sa at han tok kontroll over kameraet ved å ta brukernavn og passordkombinasjoner stjålet fra en annen tjeneste og prøve dem ut på offerets Ring-kontoer. Ringekamereeiere ble med andre ord rammet av et legitimt utstoppingsangrep.
Dette er enda et bevis på hvor uaktsomme vi er mot potensielle konsekvenser av å koble et stort antall dingser til internett. Ved å bruke passordene sine på mer enn en online tjeneste, aktiverte eierne av de hacket kameraene legitimasjonsstoppningsangrepet, og de gjorde hackernes liv enda enklere ved å unnlate å konfigurere tofaktorautentisering. Noen uker etter angrepet havnet noen Ring-passord på en mørk markedsplass på nettet, og det viste seg at mange av dem var skremmende enkle å gjette, noe som hamrer poenget hjem enda lenger.
Med andre ord, selv om de har rett til å bli sinte over den grove invasjonen av privatliv de måtte takle, må eierne av de hacket kameraene også ta sin del av skylden.
Det er ikke helt ned til passordbruk
Du kan se at folks holdning til sitt eget privatliv og sikkerhet langt fra er ideell, men dette er egentlig ikke nyheter. Problemet har eksistert i mange år nå, og det ser ut som om folk bare ikke er villige til å få handlingen sin sammen. Tjenesteleverandører og maskinvareleverandører har imidlertid mer enn noen få metoder for å pushe folk bort fra å gjøre de samme gamle feilene. De kan for eksempel innføre passordregler som vil hindre folk i å beskytte kontoene sine med noe enkelt og lett å gjette som "12345678" og "passord." I følge TechCrunch kan du likevel bruke disse passordene selv nå, nær to måneder etter desemberhakkhendelser. Leverandøren ble også kritisert for å bruke SMS-meldinger som et medium for 2FA-passord, som ikke er det beste alternativet, spesielt når en kompromittert konto kan ha så alvorlige personvernkonsekvenser.
Når vi snakker om det, er det andre forholdsregler som kunne ha holdt ringeeiere litt sikrere. Mange online tjenester varsler brukere når for eksempel tilgang til kontoer deres fra en ukjent enhet, og nesten alle av dem pålegger en begrensning på antall mislykkede påloggingsforsøk fra en enkelt IP. I følge søksmålet gjennomførte imidlertid Ring ikke disse tiltakene.
Hvis det er noe vi kan lære av hele hendelsen, er det at både leverandører og brukere har alt verktøyet for å forhindre enkle påfyllingsangrep og unngå alvorlige personvernproblemer. Verken dessverre brukte verken Ring eller kundene disse verktøyene, og konsekvensene var ganske forferdelige.
