Amazon en Ring aangeklaagd na inbraak op beveiligingscamera
Een Amerikaanse man heeft Amazon en Ring aangeklaagd nadat een aanvaller toegang tot zijn Ring-camera kreeg. Volgens de man laat de beveiliging van de camera's te wensen over. "Lakse beveiligingsstandaarden en -protocollen maken de camerasystemen kwetsbaar voor cyberaanvallen", aldus de aanklacht.
De afgelopen maanden verschenen er meerdere berichten in de media over aanvallers die toegang tot Ring-camera's wisten te krijgen. Ring liet daarop weten dat aanvallers geregeld via hergebruikte wachtwoorden op accounts inloggen. Bij een recent incident verschenen de gegevens van meer dan 3600 Ring-gebruikers online. Ring ontkende dat deze gegevens bij het bedrijf waren buitgemaakt en besloot de wachtwoorden van getroffen gebruikers te resetten.
De Amerikaanse man stelt in de aanklacht dat Ring de schuld bij klanten legt die geen sterke wachtwoorden zouden kiezen. "Het is echter Ring die niet voldoende beveiligingsmaatregelen biedt zoals tweefactorauthenticatie en andere protocollen die noodzakelijk zijn om de integriteit en onschendbaarheid van de camera's te garanderen", zo valt in de aanklacht te lezen. Ring laat gebruikers hun account echter wel degelijk met tweefactorauthenticatie beveiligen.
De man stelt dat hij zijn Ring-camera met een "medium-strong password" had beveiligd en niet wist dat Ring tweefactorauthenticatie bood. Nadat een aanvaller toegang tot zijn camera kreeg ontdekte hij naar eigen zeggen de beschikbaarheid van tweefactorauthenticatie en stelde de maatregel in.
"Een bedrijf dat een apparaat verkoopt dat de bewoners van een woning zou moeten beschermen zou geen platform moeten worden dat die bewoners in gevaar brengt", aldus de advocaat van de man tegenover persbureau Reuters. De man eist van Ring en moederbedrijf Amazon een niet nader genoemde schadevergoeding en dat de beveiliging van nieuwe en toekomstige Ring-camera's wordt verbeterd.
Terzijde van dit soort berichten vraag ik mij altijd af waarom het gros van de mensheid zich laat verleiden tot de toepassing van camera's die al of niet middels wifi aan dezelfde computer hangen als waarmee zij het internet benaderen.
Argumenten zoals: "Dan kan ik op afstand zien of er ingebroken wordt" zijn waarschijnlijk zwaarwegend.
Maar wat is de reële risico afweging? Inbraak of inbraak waarbij ik met het laatste doel op de nogal wrakke beveiliging van IoT apparatuur niet zelden van Chinese signatuur.
Toegevoegd:
Je struikelt bijna over deze lekken:
https://www.security.nl/posting/637052/Smarthomefabrikant+Wyze+lekt+data+2%2C4+miljoen+gebruikers
Toeval?:
Daarom moet je hem met internet verbinden.
Voor de rest denk ik dat je altijd zelf verantwoordelijk bent voor je ingestelde wachtwoorden en het lezen van de gebruiksaanwijzingen. Maar lezen is soms iets dat je graag overslaat...
Daar heeft het helemaal niks mee te maken. Eerder, "Wij willen een technologisch product kopen aan niet technologische mensen, hoe kunnen we het ze zo makkelijk mogelijk maken." en het gros doet niks eraan want die sluiten het aan, volgen de stappen in de handleiding en ze hebben beeld dus het werkt.
Hetzelfde toentertijd met wifi. Om het aan de massa te brengen werden maar onbeveiligde instellingen gebruikt om het zo makkelijk mogelijk te maken.
Wel apart als de man zelf niet goed naar de beveiligingsmogelijkheden heeft gekeken en dan Amazone en Ring aanklaagt. Altijd frappant dat er mensen zijn die niet de verantwoordelijkheid bij hun eigen neer kunnen leggen en het niet het verlies nemen om erna ervan te kunnen leren.
Wanneer ik het verhaal zo lees, komt bij mij de gedachte op: "Typische Amerikaanse claimcultuur". De gebruiksaanwijzingen niet lezen en dan de fabrikant de schuld geven.
Wanneer het tegenovergestelde gebeurt - afdwingen van 2FA - dan wordt er geklaagd dat het product onbruikbaar is.
Lijkt me een kansloze aanklacht als de bewering in de aanklacht al niet klopt. Dat Ring 2FA bied is meer dan veel van zijn concurrenten.
Wel apart als de man zelf niet goed naar de beveiligingsmogelijkheden heeft gekeken en dan Amazone en Ring aanklaagt. Altijd frappant dat er mensen zijn die niet de verantwoordelijkheid bij hun eigen neer kunnen leggen en het niet het verlies nemen om erna ervan te kunnen leren.
Ik durf wel te stellen dat een enkele factor, bijvoorbeeld alleen wachtwoord voor zulke oplossingen onvoldoende is. Dus leverancier moeten standaard 2fa aanzetten en aanbieden.
Ik weet dat dit in Amerika iets anders ligt maar hier in Nederland kun je alleen schade claimen die je ook hard kunt maken,
dus kosten die je daadwerkelijk hebt moeten maken. Een miljoentje claimen omdat iemand heeft kunnen zien wat het
voor een rotzooi is in jouw voortuin dat zit er niet in.
2 dagen voordat de berichtgeving omtrent de logingegevens op straat kwam kreeg ik in de nacht van donderdag op vrijdag ruim 20 two factor sms wat suggereert op een loginpoging van iemand met een correcte user/pass login. Ik was dit zelf niet dus bij mij gingen er alarmbellen rinkelen. Die nacht verander ik het wachtwoord zodat die smsjes stoppen en elke mogelijkheid tot inloggen zijn tegengehouden.
De volgende ochtend wil ik opnieuw inloggen maar kreeg vervolgens een melding dat mijn account tijdelijk is geblokkeerd in verband met teveel foutieve loginpogingen(!). Dit is een major security flaw. Doordat iemand anders dus verkeerde loginpogingen doet, wordt mijn volledige toegang geblokkeerd voor 24 uur!
Nu het belangrijkste: Ik gebruik een UNIEK mailadres + UNIEK strong, niet te herleiden, wachtwoord. Daarnaast werk ik 99% via een eigen VPN en NOOIT via onveilige netwerken.
Ik heb Ring gemaild met deze melding en de reactie die ik terug krijg is:
For your concern, what we can do for you on our end Daniel is to disable the two-factor authentication for you. If you are alright with this I will need the following information.
MAC ID:
Ring Account Email:
First and Last Name:
Once I get the information, I will process the disable your two-factor authentication for you. Hope to hear from you soon.
Hoe kun je als dochterorganisatie van Amazon op het gebied van security, logging, privacy en support de zaken zo slecht op orde hebben.
Volgens mij moet er onderzoek gedaan worden naar het statement van Ring (credential stuffing) op basis van mijn bevindingen, hoe is zoiets op te zetten? Ik heb geen idee namelijk...
Uhm. Dat is een fors verschil met Nederland. Een advocatenkantoor verzint de zaak (tegen een persoon of bedrijf met dikke portemonnaie) , zoekt slachtoffers en procedeert No Cure, No Pay voor een heel dik percentage van een gewonnen schadeclaim of settlement.
De term 'moedig' vind ik dan minder van toepassing.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
