Sąsiedzi Amazon Ring ujawniają dane klientów

Poważny problem z bezpieczeństwem związany z aplikacją Ring Neighbors należącą do Amazona ujawnił dokładną lokalizację i adres domowy użytkowników. Wyciek pojawia się po piętach incydentu włamania do aparatu Ring z końca 2020 roku, który doprowadził do wszczęcia przez użytkowników pozwu zbiorowego przeciwko Ringowi.

Ring został przejęty przez Amazon w 2018 roku - w tym samym roku, kiedy firma uruchomiła Neighbours jako osobną aplikację. Zgodnie z własnym opisem, aplikacja umożliwia użytkownikom „otrzymywanie w czasie rzeczywistym alertów o przestępstwach i bezpieczeństwie od sąsiadów i lokalnych organów ścigania”.

Problem z bezpieczeństwem w aplikacji Sąsiedzi pozwolił złym aktorom na uzyskanie danych o lokalizacji użytkowników, którzy przesłali raporty i opublikowali w aplikacji - czynność, która jest zwykle wykonywana bez ujawniania dokładnej lokalizacji. Problem spowodował, że aplikacja wyodrębniła dokładne współrzędne osób przesyłających raporty bezpośrednio z serwerów Ring.

Problem był dodatkowo skomplikowany przez fakt, że każdemu postowi użytkownika przypisywano wartość liczbową, która była zwiększana dla nowych postów. Ten rodzaj konfiguracji sprawił, że stosunkowo łatwo było pobrać dane lokalizacji z poprzednich plakatów, nawet jeśli nie znajdowali się w tym samym sąsiedztwie.

Ring przedstawił oświadczenie informujące, że błąd został naprawiony, wraz ze zwykłymi zapewnieniami o tym, jak poważne są polityki firmy, jeśli chodzi o bezpieczeństwo użytkowników.

Ring ponownie znalazł się pod ostrzałem pod koniec 2020 roku, kiedy ludzie wytoczyli firmie pozew zbiorowy. Pozew zarzuca niewystarczające środki bezpieczeństwa zainstalowane i egzekwowane za pomocą kamer Ring.

Ring wcześniej przedstawił nieco kontrowersyjne oświadczenie, które wielu postrzegało jako zrzucenie winy na użytkowników końcowych za to, że nie włączyli uwierzytelniania dwuskładnikowego na swoich urządzeniach, mimo że mogli to zrobić.

Usługa MFA została później wymuszona na wszystkich użytkownikach w aplikacji. Stało się to w następstwie odkrycia, że hakerzy pracowali nad dedykowanymi narzędziami służącymi do łamania kont Ring i kradzieży danych uwierzytelniających, a do sieci wyciekła część ponad 1000 haseł użytkowników.

January 22, 2021

Zostaw odpowiedź