Au cours des deux dernières semaines, des pirates ont publié des milliers d’identifiants de compte de caméra Ring valides sur les forums de piratage et le dark web.
Dans la plupart des cas, ils l’ont fait pour gagner se faire une réputation dans la communauté du piratage, mais aussi “pour rire”, dans l’espoir que quelqu’un d’autre piraterait les utilisateurs de Ring, détournerait leurs comptes ou enregistrerait des utilisateurs chez eux.
Ces listes d’identifiant ont été compilées à l’aide d’une technique appelée « credential stuffing ». Les pirates ont utilisé des outils et des applications spéciales qui ont récupéré des identifiants dévoilés dans d’autres fuites de données et ont testé leur validité sur les systèmes d’authentification de Ring.
Lorsque les identifiants fonctionnaient, ils étaient publiés en ligne. Dans certains cas, les pirates ont également publié les outils qu’ils utilisaient pour laisser les autres pirates tenter leur chance eux-mêmes.
BuzzFeed a publié hier une liste de plus de 3 600 comptes Ring. TechCrunch a publié un article sur une autre liste de 1 500 comptes Ring. ZDNet a également reçu la liste reçue par TechCrunch.
La personne qui a donné l’information à ZDNet a déclaré avoir informé Ring du problème plus tôt cette semaine : la société a commencé à réinitialiser les mots de passe et à informer les clients.
publicité
Le nouveau passe-temps des pirates
ZDNet a partagé la liste avec l’équipe de sécurité de Ring. La société explique que sur les 100 000 identifiants, seules 4 000 entrées concernaient des comptes Ring valides. La société n’était pas au courant de cette liste particulière, mais a déclaré qu’elle avait déjà réinitialisé les mots de passe et informé les propriétaires de comptes dans le passé, suggérant que d’autres pirates avaient identifié ces mêmes comptes dans le passé.
L’origine de ces données provenait également sans aucun doute des tactiques de credential stuffing. Tous les e-mails testés par ZDNet étaient présents dans des fuites connues d’identifiants de connexion.
Nous avons testé les identifiants grâce au service Have I Been Pwned, et ils ont tous été répertoriés dans diverses fuites de données où des combinaisons d’e-mails et de mots de passe avaient été divulguées dans le passé.
Certains des utilisateurs de Ring de la liste que nous avons contactés ont confirmé avoir réutilisé des mots de passe. Certains ont déclaré avoir changé de mot de passe par eux-mêmes après avoir lu des informations sur le piratage de caméras de sécurité Ring en ligne, sur divers sites. Certains utilisaient toujours les mots de passe et ont commencé à les changer après notre prise de contact.
En outre, le pirate informatique qui a publié la liste des 100 000 comptes a également précédemment publié une “Ring config” pour OpenBullet, un outil utilisé pour automatiser les attaques de credential stuffing.
La liste des 100 000 comptes Ring a été publiée en ligne le 11 décembre, le jour de la publication par Vice d’un article sur la popularisation des outils d’automatisation d’attaques contres les cameras Ring.
Le lendemain, Vice a publié un article sur la façon dont les pirates informatiques utilisaient ces outils pour prendre le contrôle les comptes, puis effrayer et enregistrer des utilisateurs de caméras Ring dans leurs maisons. Ces enregistrements étaient partagés plus tard dans un salon de discussion Discord autour d’un podcast nommé Nulledcast.
Ces deux articles, et les autres qui ont suivi ont suscité un intérêt pour le piratage des cameras Ring sur les forums de piratages.
Les messages postés sur divers forums ont montré que les utilisateurs ont commencé à solliciter et à partager des listes d’identifiants d’utilisateur Ring valides, ainsi que les outils pour tester et détourner les comptes.
Les pirates ont partagé ces listes encourageant les autres à enregistrer les propriétaires de Ring via leur caméra Ring et à partager l’enregistrement “pour rire”.
D’autres ont simplement partagé des listes sans autre raison que de maintenir ou de renforcer leur réputation, le justifiant en disant qu’ils «livrent» toujours ce que la communauté veut ou demande.
Cracked et Nulled, les deux forums au cœur des deux articles de Vice, ont interdit la semaine dernière tout sujet lié à Ring, dans le but de limiter le risque d’enquêtes policières, bien que les deux forums hébergent d’autres contenus illégaux ou piratés.
Cependant, il existe actuellement d’autres forums en ligne qui n’ont aucun problème pour héberger des pirates qui continuent à échanger des outils de piratage liés à Ring et des comptes compromis.
Amazon se dédouane
Un porte-parole de Ring a déclaré à ZDNet hier qu’il n’y avait pas eu d’attaques de ses serveurs internes et que, de son côté, les comptes étaient compromis en raison d’attaques credential stuffing et du fait que les utilisateurs réutilisaient les mots de passe sur les services en ligne.
La société a publié la semaine dernière un article de blog contenant des conseils de base sur la façon dont les propriétaires de caméras Ring pouvaient sécuriser leurs comptes.
Dans un nouvel article cette semaine, Vice a déclaré que Ring pourrait faire mieux en ajoutant des fonctionnalités de sécurité supplémentaires à son système. Parmi les mesures évoquées, la prise en charge d’un CAPTCHA pour empêcher les attaques automatisées, ou un indicateur signalant lorsque plusieurs personnes sont connectées sur un même compte, pour aider les utilisateurs à détecter les intrusions.
Ring n’est pas la seule entreprise à avoir une faible protection contre les attaques de credential stuffing. Disney + a un problème similaire, et probablement pire – car il n’offre pas d’authentification à deux facteurs, contrairement à Ring.
Ring fait également face à une crise de communication du fait de sa collaboration un peu trop étroite avec les forces de l’ordre, qui déplaît à certains de ses clients.
Source : ZDNet.com
Comentarios