Plus de 1 500 mots de passe Ring ont été trouvés sur le dark web – TechCrunch

Un chercheur en sécurité a trouvé sur le dark web 1 562 adresses e-mail et mots de passe uniques associés à Ring mots de passe de sonnette.

La liste des mots de passe a été téléchargée mardi sur un site anonyme de partage de texte sur le Web sombre, couramment utilisé pour partager des mots de passe volés et du matériel illicite. Un chercheur en sécurité a trouvé le cache des adresses e-mail et des mots de passe, qui peuvent être utilisés pour se connecter aux caméras et y accéder, ainsi que leur fuseau horaire et l'emplacement de la sonnette, tels que «entrée» ou «porte d'entrée».

Le chercheur a rapporté les résultats à Amazon – qui est propriétaire de la marque Ring – mais Amazon a demandé au chercheur de ne pas discuter de leurs conclusions en public.

Au moment de la rédaction, la liste des sites Web sombres est toujours accessible.

Il s'agit de la deuxième fuite signalée d'informations d'identification Ring aujourd'hui. Plus tôt jeudi, BuzzFeed News a rapporté qu'un cache similaire de données sur plus de 3 600 sonnettes Ring avait été publié en ligne. Les données semblent être un ensemble de données d'aspect similaire à celui obtenu par BuzzFeed. Toute personne possédant une adresse e-mail et un mot de passe fonctionnels peut se connecter à un compte Ring et obtenir l'adresse, le numéro de téléphone et les informations de paiement du client Ring. Les informations d'identification permettent également à l'utilisateur d'accéder aux périphériques Ring dans cette maison, y compris l'accès aux données vidéo historiques si le paramètre est activé.

On ne sait pas comment les données ont été exposées.

La liste Web sombre (Image: TechCrunch)

TechCrunch a contacté une douzaine de personnes dont les informations ont été trouvées sur la liste Web sombre. Nous avons fourni à chaque personne son mot de passe. Parmi ceux qui ont répondu, tous ont confirmé qu'il s'agissait de leur mot de passe.

Sur notre conseil, tous ont changé leurs mots de passe et certains ont activé l'authentification à deux facteurs sur leurs comptes.

Presque tous les mots de passe que nous avons examinés étaient relativement simples et potentiellement faciles à deviner. Il est possible que les mots de passe aient été obtenus par pulvérisation de mots de passe, une technique utilisée par les pirates pour deviner les mots de passe, ou le bourrage d'informations d'identification, où les pirates prennent des ensembles existants de noms d'utilisateur et de mots de passe exposés ou violés comparés à différents sites Web pour accéder à des comptes.

Le porte-parole du Ring, Yassi Shahmiri, n'a pas répondu à une demande de commentaire avant la publication, mais dans un e-mail après que nous avons publié, a nié une violation de données.

"Nous avons informé les clients dont nous avons identifié les comptes comme étant exposés et avons réinitialisé leurs mots de passe. En outre, nous continuons de surveiller et de bloquer les tentatives de connexion potentiellement non autorisées dans les comptes Ring », a déclaré le porte-parole.

Cependant, parmi ceux à qui nous avons parlé, aucun n’a été contacté par Ring – contrairement à ce que prétend la société.

Il s'agit de la dernière défaillance de sécurité impliquant des caméras de sécurité Ring la semaine dernière. Des informations ont été publiées la semaine dernière sur la façon dont des pirates informatiques se sont introduits dans des caméras Ring aux États-Unis.Certains forums sur le crime partagent des outils pour pénétrer des comptes Ring. Plus tôt cette semaine, la carte mère a confirmé que les caméras Ring avaient des mesures de sécurité de mauvaise qualité – comme ne pas dire aux utilisateurs quand d'autres personnes se connectent, quand les caméras sont activement surveillées et en utilisant une forme faible d'authentification à deux facteurs. Ring a blâmé les utilisateurs pour ne pas avoir utilisé les «meilleures pratiques». Mais d'autres ont rejeté la réponse pour ne pas avoir mis en place des «mesures de sécurité de base» pour protéger les utilisateurs.

Ring a également été critiqué par les législateurs pour ses relations étroites avec les forces de l'ordre aux États-Unis.

On ne sait pas combien d'ensembles d'informations d'identification de compte Ring exposées flottent sur le Web sombre. Les utilisateurs doivent protéger leurs comptes avec des mots de passe forts et uniques et activer l'authentification à deux facteurs.

Mis à jour avec le commentaire de Ring.

Traduit de la source : https://techcrunch.com/2019/12/19/ring-doorbell-passwords-exposed/

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.