Amazon Ring Neighbours geeft klantgegevens vrij
Een aanzienlijk beveiligingsprobleem met de Ring Neighbours-app van Amazon bracht de exacte locatie en het thuisadres van gebruikers aan het licht. Het lek komt op de hielen van het Ring-camera-hackincident eind 2020 dat ertoe leidde dat gebruikers een class action-rechtszaak tegen Ring lanceerden.
Ring werd in 2018 overgenomen door Amazon - hetzelfde jaar waarin het bedrijf Neighbours lanceerde als een aparte app. Volgens de eigen beschrijving van de app kunnen gebruikers "real-time misdaad- en veiligheidswaarschuwingen ontvangen van buren en lokale wetshandhavers".
Door het beveiligingsprobleem met de Neighbours-app konden slechte actoren de locatiegegevens verkrijgen van gebruikers die rapporten hebben ingediend en in de app hebben gepost - een handeling die normaal wordt uitgevoerd zonder de exacte locatie bekend te maken. Het probleem zorgde ervoor dat de applicatie de exacte coördinaten van de mensen die de rapporten indienden, rechtstreeks van de Ring-servers extraheerde.
Het probleem werd verder bemoeilijkt door het feit dat aan elk gebruikersbericht een numerieke waarde werd toegewezen die werd verhoogd voor nieuwe berichten. Dit soort opstelling maakte het relatief eenvoudig om locatiegegevens van eerdere posters te halen, zelfs als ze zich niet in dezelfde buurt bevonden.
Ring kwam met een verklaring waarin hij informeerde dat de bug was verholpen, samen met de gebruikelijke geruststellingen over hoe serieus het beleid van het bedrijf is als het gaat om gebruikersbeveiliging.
Ring kwam eind 2020 opnieuw onder vuur te liggen, toen mensen een class action-rechtszaak tegen het bedrijf begonnen. Het pak beweert dat er onvoldoende beveiligingsmaatregelen zijn geïnstalleerd en afgedwongen met Ring-camera's.
Ring was eerder met een enigszins controversiële verklaring naar buiten gekomen, die door velen werd gezien als het verleggen van de schuld naar de eindgebruikers omdat ze geen tweefactorauthenticatie op hun apparaten hadden ingeschakeld, ook al hadden ze dat wel kunnen doen.
MFA werd later afgedwongen voor alle gebruikers in de applicatie. Dit gebeurde in de nasleep van de ontdekking dat hackers werkten aan speciale tools die werden gebruikt om Ring-accounts te kraken en inloggegevens te stelen, en een brok van meer dan 1000 gebruikerswachtwoorden werd online gelekt.