Pierścień pozwany za zhakowane kamery, które narażają prywatność dzieci

Niestety, zwykle nie myślimy o konsekwencjach, gdy podłączamy coraz więcej urządzeń do Internetu. Na przykład w ubiegłym roku Ashley LeMay i Dylan Blakeley kupili kilka kamer IP wyprodukowanych przez Ring i zainstalowali je w domu z zamiarem wykorzystania ich jako nianie. Podobał im się pomysł, że nie tylko mają oko na swoje dzieci, ale mogą także używać głośnika kamery, aby rozmawiać z dziećmi i przez pewien czas byli całkiem zadowoleni ze swojego wyboru. Jednak 4 grudnia niezidentyfikowanemu cyberprzestępcy udało się włamać i przejąć kontrolę nad kamerami Blakeleya. Najpierw haker grał trochę przerażającej muzyki, a później rozmawiał z dziećmi, które, jak pokazują zdjęcia, były przerażone.

Kilka dni później Todd Craig i Tania Amador, para z Teksasu, znaleźli się w podobnej sytuacji po zhakowaniu urządzeń monitorujących i pojawiły się doniesienia o tym, że inni właściciele kamer Ring zostali trafieni przez atak. Są to jedne z najbardziej przerażających incydentów związanych z cyberbezpieczeństwem, jakie ostatnio widzieliśmy, i, co nie jest zaskoczeniem, reakcja na Pierścień była znacząca.

Mogło jednak być gorzej, ponieważ w zeszłym tygodniu obie pary, wraz z innymi właścicielami zhakowanych kamer Ring, ogłosiły, że pozwać będą sprzedawcę należącego do Amazon. Ale czy Ring ponosi wyłączną odpowiedzialność za atak?

Ring powiedział, że jego systemy nie zostały naruszone

Nic dziwnego, że po ataku Ring rozpoczął dochodzenie i w ciągu około tygodnia ogłosił, że pełzacz, który rozmawiał z 8-latkami za pośrednictwem kamery bezpieczeństwa innej osoby, nigdy nie zdołał złamać systemów bezpieczeństwa dostawcy. W blogu napisano, że przejął kontrolę nad kamerą, biorąc kombinacje nazwy użytkownika i hasła skradzione z innej usługi i wypróbowując je na kontach Ring ofiary. Innymi słowy, właściciele kamer pierścieniowych zostali dotknięci atakiem upychania poświadczeń.

Jest to kolejny dowód tego, jak bardzo zaniedbujemy potencjalne konsekwencje podłączenia dużej liczby gadżetów do Internetu. Ponownie wykorzystując swoje hasła w więcej niż jednej usłudze online, właściciele zhakowanych kamer umożliwili atak upychania danych uwierzytelniających i sprawili, że życie hakerów było jeszcze łatwiejsze, ponieważ nie skonfigurowano uwierzytelniania dwuskładnikowego. Kilka tygodni po ataku, niektóre hasła ring skończyło się na rynku ciemny internetowej, a okazało się, że wielu z nich było przerażająco łatwo się domyślić, co młotki domu punktu nawet dalej.

Innymi słowy, chociaż słusznie czują gniew ze względu na rażącą ingerencję w prywatność, z którą musieli sobie poradzić, właściciele zhakowanych kamer również muszą wziąć na siebie odpowiedzialność.

Nie wszystko zależy od ponownego użycia hasła

Widać, że stosunek ludzi do własnej prywatności i bezpieczeństwa jest daleki od ideału, ale to nie jest tak naprawdę nowość. Problem istnieje od lat i wygląda na to, że ludzie po prostu nie są skłonni do wspólnego działania. Jednak dostawcy usług i dostawcy sprzętu mają więcej niż kilka metod odciągania ludzi od popełniania tych samych starych błędów. Mogą na przykład narzucić reguły dotyczące haseł, które uniemożliwiłyby ludziom ochronę ich kont za pomocą czegoś prostego i łatwego do odgadnięcia, takiego jak „12345678” i „hasło”. Według TechCruncha możesz nadal używać tych haseł nawet teraz, prawie dwa miesiące po grudniowych incydentach hakerskich. Producent został również skrytykowany za używanie wiadomości SMS jako medium dla jednorazowych haseł 2FA, co nie jest najlepszą opcją, szczególnie gdy przejęte konto może mieć tak poważne konsekwencje dla prywatności.

Mówiąc o tym, istnieją inne środki ostrożności, które mogłyby zapewnić właścicielom Pierścienia nieco większe bezpieczeństwo. Wiele usług online ostrzega użytkowników na przykład o dostępie do ich kont z nieznanego urządzenia i prawie wszystkie z nich ograniczają liczbę nieudanych prób logowania z jednego adresu IP. Jednak zgodnie z procesem sądowym Ring nie wdrożył tych środków.

Jeśli czegoś możemy się nauczyć z całego tego incydentu, to zarówno dostawcy, jak i użytkownicy mają wszystko, co jest w stanie zapobiec prostym atakom polegającym na fałszowaniu poświadczeń i uniknąć poważnych problemów prywatności. Niestety ani Ring, ani jego klienci nie korzystali z tych narzędzi, a konsekwencje były dość przerażające.