image

Amazon en Ring aangeklaagd na inbraak op beveiligingscamera

zondag 29 december 2019, 10:43 door Redactie, 11 reacties

Een Amerikaanse man heeft Amazon en Ring aangeklaagd nadat een aanvaller toegang tot zijn Ring-camera kreeg. Volgens de man laat de beveiliging van de camera's te wensen over. "Lakse beveiligingsstandaarden en -protocollen maken de camerasystemen kwetsbaar voor cyberaanvallen", aldus de aanklacht.

De afgelopen maanden verschenen er meerdere berichten in de media over aanvallers die toegang tot Ring-camera's wisten te krijgen. Ring liet daarop weten dat aanvallers geregeld via hergebruikte wachtwoorden op accounts inloggen. Bij een recent incident verschenen de gegevens van meer dan 3600 Ring-gebruikers online. Ring ontkende dat deze gegevens bij het bedrijf waren buitgemaakt en besloot de wachtwoorden van getroffen gebruikers te resetten.

De Amerikaanse man stelt in de aanklacht dat Ring de schuld bij klanten legt die geen sterke wachtwoorden zouden kiezen. "Het is echter Ring die niet voldoende beveiligingsmaatregelen biedt zoals tweefactorauthenticatie en andere protocollen die noodzakelijk zijn om de integriteit en onschendbaarheid van de camera's te garanderen", zo valt in de aanklacht te lezen. Ring laat gebruikers hun account echter wel degelijk met tweefactorauthenticatie beveiligen.

De man stelt dat hij zijn Ring-camera met een "medium-strong password" had beveiligd en niet wist dat Ring tweefactorauthenticatie bood. Nadat een aanvaller toegang tot zijn camera kreeg ontdekte hij naar eigen zeggen de beschikbaarheid van tweefactorauthenticatie en stelde de maatregel in.

"Een bedrijf dat een apparaat verkoopt dat de bewoners van een woning zou moeten beschermen zou geen platform moeten worden dat die bewoners in gevaar brengt", aldus de advocaat van de man tegenover persbureau Reuters. De man eist van Ring en moederbedrijf Amazon een niet nader genoemde schadevergoeding en dat de beveiliging van nieuwe en toekomstige Ring-camera's wordt verbeterd.

Reacties (11)
29-12-2019, 12:05 door [Account Verwijderd] - Bijgewerkt: 29-12-2019, 12:16
Moedig om te gaan procederen.
Terzijde van dit soort berichten vraag ik mij altijd af waarom het gros van de mensheid zich laat verleiden tot de toepassing van camera's die al of niet middels wifi aan dezelfde computer hangen als waarmee zij het internet benaderen.
Argumenten zoals: "Dan kan ik op afstand zien of er ingebroken wordt" zijn waarschijnlijk zwaarwegend.
Maar wat is de reële risico afweging? Inbraak of inbraak waarbij ik met het laatste doel op de nogal wrakke beveiliging van IoT apparatuur niet zelden van Chinese signatuur.

Toegevoegd:

Je struikelt bijna over deze lekken:
https://www.security.nl/posting/637052/Smarthomefabrikant+Wyze+lekt+data+2%2C4+miljoen+gebruikers

Toeval?:
Wyze Labs, Inc Amazon, Alexa, Echo Spot and all related logos are trademarks of Amazon.com, Inc.
29-12-2019, 13:30 door Anoniem
Ring heeft als voordeel dat je de bel op afstand kunt "horen" en een video gesprek kunt opzetten met degen voor je deur.
Daarom moet je hem met internet verbinden.
Voor de rest denk ik dat je altijd zelf verantwoordelijk bent voor je ingestelde wachtwoorden en het lezen van de gebruiksaanwijzingen. Maar lezen is soms iets dat je graag overslaat...
29-12-2019, 13:52 door Anoniem
"Lakse beveiligingsstandaarden en -protocollen

Daar heeft het helemaal niks mee te maken. Eerder, "Wij willen een technologisch product kopen aan niet technologische mensen, hoe kunnen we het ze zo makkelijk mogelijk maken." en het gros doet niks eraan want die sluiten het aan, volgen de stappen in de handleiding en ze hebben beeld dus het werkt.
Hetzelfde toentertijd met wifi. Om het aan de massa te brengen werden maar onbeveiligde instellingen gebruikt om het zo makkelijk mogelijk te maken.
29-12-2019, 13:56 door Anoniem
De man stelt dat hij zijn Ring-camera met een "medium-strong password" had beveiligd en niet wist dat Ring tweefactorauthenticatie bood. Nadat een aanvaller toegang tot zijn camera kreeg ontdekte hij naar eigen zeggen de beschikbaarheid van tweefactorauthenticatie en stelde de maatregel in.

Wel apart als de man zelf niet goed naar de beveiligingsmogelijkheden heeft gekeken en dan Amazone en Ring aanklaagt. Altijd frappant dat er mensen zijn die niet de verantwoordelijkheid bij hun eigen neer kunnen leggen en het niet het verlies nemen om erna ervan te kunnen leren.
29-12-2019, 18:30 door Eric-Jan H te D
.
Wanneer ik het verhaal zo lees, komt bij mij de gedachte op: "Typische Amerikaanse claimcultuur". De gebruiksaanwijzingen niet lezen en dan de fabrikant de schuld geven.

Wanneer het tegenovergestelde gebeurt - afdwingen van 2FA - dan wordt er geklaagd dat het product onbruikbaar is.
29-12-2019, 18:40 door Briolet
"Het is echter Ring die niet voldoende beveiligingsmaatregelen biedt zoals tweefactorauthenticatie en andere protocollen die noodzakelijk zijn om de integriteit en onschendbaarheid van de camera's te garanderen", zo valt in de aanklacht te lezen.

Lijkt me een kansloze aanklacht als de bewering in de aanklacht al niet klopt. Dat Ring 2FA bied is meer dan veel van zijn concurrenten.
29-12-2019, 20:22 door Anoniem
Door Anoniem:
De man stelt dat hij zijn Ring-camera met een "medium-strong password" had beveiligd en niet wist dat Ring tweefactorauthenticatie bood. Nadat een aanvaller toegang tot zijn camera kreeg ontdekte hij naar eigen zeggen de beschikbaarheid van tweefactorauthenticatie en stelde de maatregel in.

Wel apart als de man zelf niet goed naar de beveiligingsmogelijkheden heeft gekeken en dan Amazone en Ring aanklaagt. Altijd frappant dat er mensen zijn die niet de verantwoordelijkheid bij hun eigen neer kunnen leggen en het niet het verlies nemen om erna ervan te kunnen leren.

Ik durf wel te stellen dat een enkele factor, bijvoorbeeld alleen wachtwoord voor zulke oplossingen onvoldoende is. Dus leverancier moeten standaard 2fa aanzetten en aanbieden.
29-12-2019, 21:27 door Anoniem
En wat is dan precies de schade die je hebt als je deurbel gehacked is?
Ik weet dat dit in Amerika iets anders ligt maar hier in Nederland kun je alleen schade claimen die je ook hard kunt maken,
dus kosten die je daadwerkelijk hebt moeten maken. Een miljoentje claimen omdat iemand heeft kunnen zien wat het
voor een rotzooi is in jouw voortuin dat zit er niet in.
30-12-2019, 08:04 door DanielF
Ik ben het helemaal eens met de man in kwestie maar denk dat er grotere problemen zijn bij Ring en dat ze simpel weg niet weten hoe die gegevens op straat zijn komen te liggen. Ik leg uit waarom:

2 dagen voordat de berichtgeving omtrent de logingegevens op straat kwam kreeg ik in de nacht van donderdag op vrijdag ruim 20 two factor sms wat suggereert op een loginpoging van iemand met een correcte user/pass login. Ik was dit zelf niet dus bij mij gingen er alarmbellen rinkelen. Die nacht verander ik het wachtwoord zodat die smsjes stoppen en elke mogelijkheid tot inloggen zijn tegengehouden.

De volgende ochtend wil ik opnieuw inloggen maar kreeg vervolgens een melding dat mijn account tijdelijk is geblokkeerd in verband met teveel foutieve loginpogingen(!). Dit is een major security flaw. Doordat iemand anders dus verkeerde loginpogingen doet, wordt mijn volledige toegang geblokkeerd voor 24 uur!

Nu het belangrijkste: Ik gebruik een UNIEK mailadres + UNIEK strong, niet te herleiden, wachtwoord. Daarnaast werk ik 99% via een eigen VPN en NOOIT via onveilige netwerken.

Ik heb Ring gemaild met deze melding en de reactie die ik terug krijg is:

For your concern, what we can do for you on our end Daniel is to disable the two-factor authentication for you. If you are alright with this I will need the following information.

MAC ID:
Ring Account Email:
First and Last Name:

Once I get the information, I will process the disable your two-factor authentication for you. Hope to hear from you soon.

Hoe kun je als dochterorganisatie van Amazon op het gebied van security, logging, privacy en support de zaken zo slecht op orde hebben.

Volgens mij moet er onderzoek gedaan worden naar het statement van Ring (credential stuffing) op basis van mijn bevindingen, hoe is zoiets op te zetten? Ik heb geen idee namelijk...
30-12-2019, 17:52 door Anoniem
Door Philias: Moedig om te gaan procederen.

Uhm. Dat is een fors verschil met Nederland. Een advocatenkantoor verzint de zaak (tegen een persoon of bedrijf met dikke portemonnaie) , zoekt slachtoffers en procedeert No Cure, No Pay voor een heel dik percentage van een gewonnen schadeclaim of settlement.

De term 'moedig' vind ik dan minder van toepassing.
01-01-2020, 13:15 door spatieman
ook maar doen, claimen dat ik niet wist dat ik ook de handleiding kon lezen !!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.