01/06/23
Производитель камер видеонаблюдения Ring согласился заплатить $5,8 млн. в качестве компенсации потребителям и прекратить получать прибыль от незаконного доступа к видео клиентов. Об этом сообщила Федеральная торговая комиссия США (FTC) в своем заявлении.
По данным FTC, хакеры взломали около 55 000 аккаунтов Ring, принадлежащих американским клиентам, и в некоторых случаях поддерживали доступ к связанным устройствам более месяца. В ходе взлома хакеры использовали доступ к камерам для шпионажа и преследованием ничего не подозревающих жертв. FTC предъявила жалобу Ring после того, как журналисты Motherboard провели несколько расследований о волне хакерских атак на аккаунты Ring и их камеры по всей стране в декабре 2019 года, поясняет Securitylab.
«Поскольку Ring не приняла этих мер, атаки успешно продолжались. Например, 12 декабря 2019 года известные СМИ начали публиковать отчеты о взломанных устройствах Ring, где хакеры использовали доступ к камерам для того, чтобы угрожать и дразнить детей и семьи», - говорится в жалобе FTC.
Во время компрометации 55 000 учетных записей хакеры во многих случаях пошли еще дальше. Согласно жалобе, по крайней мере для 910 учетных записей в США, связанных примерно с 1250 устройствами Ring, хакеры также получили доступ к сохраненному видео, прямой трансляции или просмотру профиля клиента.
В своем расследовании Motherboard указала на следующие нарушения компании:
- Ring позволяет людям входить в систему с неизвестных IP-адресов даже при одновременном подключении из нескольких стран по всему миру;
- компания не дает пользователям возможность увидеть, сколько пользователей в настоящее время вошли в учетную запись;
- Ring не сверяет хэши паролей пользователей с уже известными скомпрометированными учетными данными;
- Ring не внедрил проверку по СМС при входе через неизвестный логин;
- Компания предоставила беспрепятственный доступ через анонимную сеть Tor;
- Ring не применяла защиту от перебора паролей аккаунта, что позволяет злоумышленнику проводить брутфорс-атаки и атаки Credential stuffing.
В своей жалобе FTC указала на те же самые проблемы, которые обнаружили эксперты Motherboard.
«Пренебрежение Ring к приватности и безопасности подвергло потребителей шпионажу и домогательствам. Приказ FTC ясно показывает, что ставить прибыль выше приватности не выгодно», - заявили в FTC.
Отдельно от проблемы безопасности аккаунта сотрудники Ring также получали доступ к контенту потребителей без их согласия. Согласно приказу, Ring будет обязана удалить продукты данных, полученные из незаконно просмотренных видеозаписей, а также реализовать программу по защите приватности и безопасности, а также «другие строгие меры безопасности, такие как двухфакторная аутентификация (2FA) для аккаунтов как сотрудников, так и клиентов.
Федеральный суд должен одобрить приказ перед тем, как он может вступить в силу. Ring не ответил на запрос о комментарии.
