Ring stämmer över hackade kameror som avslöjade barns integritet

Tyvärr tenderar vi att inte tänka på konsekvenserna när vi ansluter fler och fler enheter till internet. Förra året köpte till exempel Ashley LeMay och Dylan Blakeley ett par IP-kameror tillverkade av Ring och installerade dem i sitt hus med avsikt att använda dem som babymonitorer. De gillade idén att de förutom att hålla ett öga på sina barn också kan använda kamerans högtalare för att prata med sina barn, och för en stund var de ganska nöjda med sitt val. Den 4 december lyckades dock en oidentifierad cyberkriminalitet hacka och ta kontroll över Blakeleys kameror. Först hackaren spelade lite läskiga musik och han senare talade till de barn som de footage visar var livrädd.

Några dagar senare befann sig Todd Craig och Tania Amador, ett par från Texas, sig i en liknande situation efter att deras övervakningsenheter blev hackade, och det rapporterades om andra ringkameraägare som drabbades av attacken. Dessa är bland de läskigaste cybersäkerhetshändelser som vi har sett nyligen, och, inte överraskande, har motreaktionen mot Ring varit betydande.

Det kan mycket väl bli värre, men eftersom förra veckan, två par, tillsammans med andra ägare av hackade ring kameror, aviserade att de kommer att stämma Amazon ägda leverantör. Men är Ring ensam ansvarig för attacken?

Ring sa att dess system inte bryts

Inte överraskande, i följd av attacken, inledde Ring en utredning, och inom ungefär en vecka meddelade den att krypningen som pratade med åttaåringar genom en annan persons säkerhetskamera aldrig faktiskt lyckades bryta säljarens säkerhetssystem. Blogginlägget sa att han tog kontroll över kameran genom att ta användarnamn och lösenordskombinationer stulna från en annan tjänst och testa dem på offrets ringkonton. Med andra ord, ringkameraägare drabbades av en referensstoppningsattack.

Detta är ännu ett bevis på hur vårdslös vi är mot de potentiella konsekvenserna av att ansluta ett stort antal prylar till internet. Genom att återanvända sina lösenord på mer än en onlinetjänst möjliggjorde ägarna av de hackade kamerorna den referensfyllda attacken, och de gjorde hackarnas liv ännu enklare genom att inte konfigurera tvåfaktorsautentisering. Några veckor efter attacken hamnade några ringlösenord på en mörk marknadsplats på webben, och det visade sig att många av dem var skrämmande enkla att gissa, vilket hämmar poängen ännu längre.

Med andra ord, även om de har rätt att känna sig arg över den grova invasionen av privatlivet de var tvungna att hantera, måste ägarna till de hackade kamerorna också ta sin del av skulden.

Det handlar inte bara om att använda lösenord

Du kan se att människors inställning till sin egen integritet och säkerhet är långt ifrån idealisk, men detta är egentligen inte nyheter. Problemet har funnits i flera år nu, och det ser ut som att människor bara inte är villiga att samla sina handlingar. Tjänsteleverantörer och hårdvaruförsäljare har dock mer än ett fåtal metoder för att nudsa bort människor från att göra samma gamla misstag. De kan till exempel införa lösenordsregler som skulle hindra människor från att skydda sina konton med något enkelt och lätt att gissa som "12345678" och "lösenord." Enligt TechCrunch kan du fortfarande använda dessa lösenord även nu, nära två månader efter decemberhackningstillfällena. Säljaren kritiserades också för att använda SMS-meddelanden som ett medium för 2FA-engångslösenord, vilket inte är det bästa alternativet, särskilt när ett komprometterat konto kan ha så allvarliga integritetskonsekvenser.

På tal om det finns det andra försiktighetsåtgärder som kunde ha hållit ringägarna lite säkrare. Många onlinetjänster varnar användare när deras konton tillgås från en okänd enhet, till exempel, och nästan alla av dem sätter en gräns för antalet misslyckade inloggningsförsök från en enda IP. Enligt stämningen genomförde emellertid Ring inte dessa åtgärder.

Om det finns något vi kan lära oss av hela händelsen, är det att både leverantörer och användare har allt verktyg för att förhindra enkla referensstoppattacker och undvika allvarliga integritetsproblem. Tyvärr använde varken Ring eller dess kunder dessa verktyg, och konsekvenserna var ganska fruktansvärda.