Hackeři přebírají kontrolu nad kamerami Ring a využívají je k výsměchu dospělým i dětem

Zdá se ironické, že výrobek zakoupený pro klid duše by vás mohl učinit zranitelnými vůči zlovolným hackerům, ale přesně to se zřejmě stalo některým majitelům kamer Ring. Několik lidí nahrálo hlasy cizích lidí, kteří se jim posmívali uvnitř jejich domů pomocí zařízení Ring. Dokonce vznikl podcast věnovaný nabourávání se do zařízení Ring i Nest, a to kvůli zábavě. V jednom případě hacker použil zařízení Ring a požadoval výkupné 50 bitcoinů (400 000 USD).

Obzvláště znepokojivou událost zažila rodina v Mississippi, když v ložnici jejich osmileté dcery uslyšela hackera, jak hraje píseň Tinyho Tima „Tiptoe Through the Tulips“. Když se holčička zeptala, kdo tam je, hacker odpověděl: „Jsem tvůj nejlepší kamarád! Jsem Santa Claus. Nechceš být můj nejlepší přítel??“ Kamera byla v té době na místě pouze čtyři dny.

Jak to hackeři dělají? Za prvé, Ring nabízí, ale nevyžaduje dvoufaktorovou autentizaci, při níž uživatelé zadávají heslo a poté potvrzují svou totožnost po obdržení zprávy na chytrý telefon. Dvoufaktorová autentizace by provedení podobných hackerských útoků značně ztížila a rodina v Mississippi uvedla, že ji nenastavila.

V uplynulém týdnu se manželé v Grand Prairie v Texasu probudili pozdě v noci, když se jim v ložnici začal spouštět alarm Ring proti vniknutí. Následoval hlas hackera: „Rádi bychom vám oznámili, že váš účet byl zrušen hackerem. Zaplaťte výkupné 50 bitcoinů, jinak budete sami ukončeni.“ Hacker získal přístup ke kameře u vchodových dveří páru a dodal: „Jsem před vašimi vchodovými dveřmi.“ Rozespalý pár našel jednoduché řešení problému: ze svých zařízení Ring vytáhli baterie.

Podobné útoky jsou tak populární, že existuje nebo existoval podcast s názvem NulledCast, v němž hackeři během podcastu pro zábavu přebírali kontrolu nad zařízeními Ring i Nest. V těchto kruzích se šíří software vytvořený speciálně k pronikání do kamer Ring. Podle zprávy, kterou tento týden přinesl server Vice, tvůrci podcastu nedávno oznámili, že musí hackování Ringu „zklidnit“ kvůli vyšetřování ze strany orgánů činných v trestním řízení. „Stále se to bude dít, jen v mnohem menším měřítku,“ slibují.

„V žádném případě nesouvisí s narušením bezpečnosti Ringu.“

Co se týče společnosti Ring, ta z problému viní špatné bezpečnostní postupy uživatelů. V prohlášení, které společnost Ring zaslala rodině z Mississippi, páru z Grand Prairie a dalším rodinám, jejichž zařízení byla hacknuta, společnost uvedla: „Během vyšetřování našeho bezpečnostního týmu jsme zjistili, že e-mailová adresa a heslo jednoho z vašich externích účtů byly odhaleny při úniku dat. Incident, o kterém jsme vám poslali e-mail, nijak nesouvisí s narušením nebo ohrožením bezpečnosti společnosti Ring.“

Společnost dále popsala běžný scénář, kdy jsou přihlašovací údaje ukradené při narušení bezpečnosti údajů prodány na černém trhu a použity k nabourání se do účtů. Mnoho velkých společností s miliony uživatelských účtů utrpělo v posledních několika letech závažné úniky dat, přičemž společnosti Marriott a CapitalOne patří jen mezi nejnovější. Když dojde k odcizení velkých skladů uživatelských dat, často jsou tato data na volném trhu na prodej. Díky dnešním ultrarychlým procesorům mohou kupující tyto údaje použít k útokům „hrubou silou“, při nichž malware jednoduše vyzkouší miliony kombinací uživatelského jména a hesla ve velmi rychlém sledu a hledá shodu. Ohroženi jsou zákazníci, kteří používají stejnou kombinaci pro více než jeden účet.

To se podle Ringa stalo ve všech těchto případech. Společnosti Inc. zaslala následující prohlášení.com:

„Nedávno jsme byli informováni o incidentu, při kterém zlovolní aktéři získali přihlašovací údaje k některým účtům uživatelů služby Ring (např.g., uživatelské jméno a heslo) ze samostatné, externí služby, která není službou Ring, a znovu je použila pro přihlášení k některým účtům Ring. Pokud je stejné uživatelské jméno a heslo opakovaně používáno ve více službách, je bohužel možné, aby špatní aktéři získali přístup k mnoha účtům.

Poté, co jsme se o incidentu dozvěděli, jsme přijali příslušná opatření k okamžitému zablokování zlých aktérů ze známých postižených účtů Ring a postižení uživatelé byli kontaktováni.“

Tania Amador, jejíž kamera Ring vydala požadavek na výkupné v bitcoinech, však toto vysvětlení v rozhovoru s místní zpravodajskou pobočkou zpochybnila. Řekla, že její heslo pro Ring má 21 znaků a používá se pouze pro její účet Ring.

Ring svým zákazníkům nabízí také tuto radu: „Jako preventivní opatření důrazně a otevřeně doporučujeme všem uživatelům Ringu, aby si na svém účtu Ring zapnuli dvoufaktorové ověřování, přidali si sdílené uživatele (místo sdílení přihlašovacích údajů), používali silná hesla a pravidelně měnili svá hesla.“

To je rada, kterou by se měl řídit každý. Amador a rodina z Mississippi však tvrdí, že se Ringu zcela zbaví.