Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog

Publié par JD

ZDnet. 24/12/2019.

Trois listes d’identifiants d'utilisateurs Ring ont fait surface cette semaine sur le web, ouvrant la porte à d’éventuels piratages.

Au cours des deux dernières semaines, des pirates ont publié des milliers d’identifiants de compte de caméra Ring valides sur les forums de piratage et le dark web.

Dans la plupart des cas, ils l'ont fait pour gagner se faire une réputation dans la communauté du piratage, mais aussi "pour rire", dans l'espoir que quelqu'un d'autre piraterait les utilisateurs de Ring, détournerait leurs comptes ou enregistrerait des utilisateurs chez eux.

Ces listes d’identifiant ont été compilées à l'aide d'une technique appelée « credential stuffing ». Les pirates ont utilisé des outils et des applications spéciales qui ont récupéré des identifiants dévoilés dans d’autres fuites de données et ont testé leur validité sur les systèmes d’authentification de Ring.

Lorsque les identifiants fonctionnaient, ils étaient publiés en ligne. Dans certains cas, les pirates ont également publié les outils qu'ils utilisaient pour laisser les autres pirates tenter leur chance eux-mêmes.

BuzzFeed a publié hier une liste de plus de 3 600 comptes Ring. TechCrunch a publié un article sur une autre liste de 1 500 comptes Ring. ZDNet a également reçu la liste reçue par TechCrunch.

La personne qui a donné l’information à ZDNet a déclaré avoir informé Ring du problème plus tôt cette semaine : la société a commencé à réinitialiser les mots de passe et à informer les clients.

Le nouveau passe-temps des pirates.

ZDNet a partagé la liste avec l'équipe de sécurité de Ring. La société explique que sur les 100 000 identifiants, seules 4 000 entrées concernaient des comptes Ring valides. La société n'était pas au courant de cette liste particulière, mais a déclaré qu'elle avait déjà réinitialisé les mots de passe et informé les propriétaires de comptes dans le passé, suggérant que d'autres pirates avaient identifié ces mêmes comptes dans le passé.

L'origine de ces données provenait également sans aucun doute des tactiques de credential stuffing. Tous les e-mails testés par ZDNet étaient présents dans des fuites connues d’identifiants de connexion.

Nous avons testé les identifiants grâce au service Have I Been Pwned, et ils ont tous été répertoriés dans diverses fuites de données où des combinaisons d'e-mails et de mots de passe avaient été divulguées dans le passé.

Certains des utilisateurs de Ring de la liste que nous avons contactés ont confirmé avoir réutilisé des mots de passe. Certains ont déclaré avoir changé de mot de passe par eux-mêmes après avoir lu des informations sur le piratage de caméras de sécurité Ring en ligne, sur divers sites. Certains utilisaient toujours les mots de passe et ont commencé à les changer après notre prise de contact.

En outre, le pirate informatique qui a publié la liste des 100 000 comptes a également précédemment publié une "Ring config" pour OpenBullet, un outil utilisé pour automatiser les attaques de credential stuffing.

Amazon se dédouane. Oui, mais.

Clic sur la photo ici :

Un porte-parole de Ring a déclaré à ZDNet hier qu'il n'y avait pas eu d’attaques de ses serveurs internes et que, de son côté, les comptes étaient compromis en raison d'attaques credential stuffing et du fait que les utilisateurs réutilisaient les mots de passe sur les services en ligne.

La société a publié la semaine dernière un article de blog contenant des conseils de base sur la façon dont les propriétaires de caméras Ring pouvaient sécuriser leurs comptes.

Dans un nouvel article cette semaine, Vice a déclaré que Ring pourrait faire mieux en ajoutant des fonctionnalités de sécurité supplémentaires à son système. Parmi les mesures évoquées, la prise en charge d'un CAPTCHA pour empêcher les attaques automatisées, ou un indicateur signalant lorsque plusieurs personnes sont connectées sur un même compte, pour aider les utilisateurs à détecter les intrusions.

Ring n'est pas la seule entreprise à avoir une faible protection contre les attaques de credential stuffing. Disney + a un problème similaire, et probablement pire - car il n'offre pas d'authentification à deux facteurs, contrairement à Ring.

Ring fait également face à une crise de communication du fait de sa collaboration un peu trop étroite avec les forces de l’ordre, qui déplaît à certains de ses clients.

 

 

Pour être informé des derniers articles, inscrivez vous :

Commenter cet article