Ring предъявлено иск на взломанные камеры, которые разоблачают детскую конфиденциальность
К сожалению, мы не думаем о последствиях, когда подключаем все больше и больше устройств к Интернету. В прошлом году, например, Эшли Лемей и Дилан Блейкли купили пару IP-камер производства Ring и установили их в своем доме, чтобы использовать их в качестве радионяней. Им понравилась идея, что помимо наблюдения за своими детьми, они также могут использовать динамик камеры, чтобы разговаривать со своими детьми, и какое-то время они были очень довольны своим выбором. Однако 4 декабря неизвестному киберпреступнику удалось взломать и взять под контроль камеры Блейкли. Сначала хакер исполнил какую-то жуткую музыку, а потом поговорил с детьми, которые, как показывают кадры, были в ужасе.
Несколько дней спустя Тодд Крейг и Таня Амадор, пара из Техаса, оказались в похожей ситуации после того, как их устройства наблюдения были взломаны, и появились сообщения о том, что другие владельцы камер Ring пострадали от атаки. Это одни из самых страшных инцидентов в области кибербезопасности, которые мы видели в последнее время, и, что неудивительно, негативная реакция против Ринга была значительной.
Впрочем, все может ухудшиться, потому что на прошлой неделе две пары вместе с другими владельцами взломанных камер Ring объявили, что подадут в суд на продавца, принадлежащего Amazon. Но несет ли Ринг единственную ответственность за атаку?
Ринг сказал, что его системы не были нарушены
Неудивительно, что после атаки Ринг начал расследование, и примерно через неделю он объявил, что крип, который разговаривал с 8-летними через камеру безопасности другого человека, так и не смог сломать системы безопасности продавца. В сообщении блога говорится, что он взял под свой контроль камеру, взяв комбинации имени пользователя и пароля, украденные из другого сервиса, и опробовав их на кольцах жертвы. Другими словами, владельцы камер Ring пострадали от взлома учетных данных.
Это еще одно доказательство того, насколько мы небрежны к потенциальным последствиям подключения большого количества гаджетов к Интернету. Повторно используя свои пароли в более чем одном онлайн-сервисе, владельцы взломанных камер включили атаку с использованием учетных данных и сделали жизнь хакеров еще проще, не настроив двухфакторную аутентификацию. Через несколько недель после атаки некоторые пароли Ring оказались на темном веб-рынке, и оказалось, что многие из них были ужасно легко угадать, что еще более усугубляет ситуацию.
Другими словами, хотя они правы, злиться на грубое вторжение в частную жизнь, с которой им приходилось иметь дело, владельцы взломанных камер также должны взять на себя свою долю вины.
Это не все до повторного использования пароля
Вы можете видеть, что отношение людей к собственной конфиденциальности и безопасности далеко от идеала, но это не совсем новость. Эта проблема существует уже много лет, и похоже, что люди просто не хотят действовать вместе. Однако у поставщиков услуг и поставщиков оборудования есть более чем несколько способов отговорить людей от совершения одних и тех же старых ошибок. Они могут, например, навязать правила паролей, которые не позволят людям защищать свои учетные записи с помощью чего-то простого и легко угадываемого, например «12345678» и «пароль». Однако, согласно TechCrunch, вы можете использовать эти пароли даже сейчас, почти через два месяца после декабрьских инцидентов. Поставщик также подвергся критике за использование SMS-сообщений в качестве среды для одноразовых паролей 2FA, что не является лучшим вариантом, особенно если взломанная учетная запись может иметь такие серьезные последствия для конфиденциальности.
Говоря об этом, есть и другие меры предосторожности, которые могли бы сделать владельцев Кольца более безопасными. Многие онлайн-сервисы предупреждают пользователей, когда к их учетным записям обращаются, например, с неизвестного устройства, и почти все они накладывают ограничение на число неудачных попыток входа с одного IP-адреса. Однако, согласно иску, «Ринг» не реализовал эти меры.
Если есть что-то, что мы можем извлечь из всего инцидента, так это то, что и у поставщиков, и у пользователей есть все инструменты, чтобы предотвратить простые атаки с использованием учетных данных и избежать серьезных проблем с конфиденциальностью. К сожалению, ни Ring, ни его клиенты не использовали эти инструменты, и последствия были довольно ужасающими.