近日,國內知名網絡黑客安全組織,東方聯盟安全研究人員在暗網上發現了1562個與Ring關聯的唯一電子郵件地址和門鈴密碼。
密碼列表已於週二上載到一個匿名的暗網文本共享站點,該站點通常用於共享被盜的密碼和非法材料。東方聯盟安全研究人員發現了電子郵件地址和密碼的緩存,可用於登錄和訪問攝像機以及攝像機的時區和門鈴的位置,例如“車道”或“前門”。
研究人員向擁有Ring品牌的亞馬遜報告了研究結果,但亞馬遜要求研究人員不要公開討論他們的發現。在撰寫本文時,仍然可以訪問黑暗的網絡清單。這是今天第二次報告的Ring憑證洩漏。週四早些時候,在線存儲了3600多個Ring Doorbells上的類似數據緩存。該數據似乎是與BuzzFeed獲得的數據看起來相似的數據集。
具有有效電子郵件地址和密碼的任何人都可以登錄Ring帳戶並獲取Ring客戶的地址,電話號碼和一些付款信息。憑據還使用戶可以訪問該家庭中的Ring設備,包括在啟用設置的情況下訪問歷史視頻數據的權限。數據是如何公開的還不得而知。
東方聯盟創始人,知名“黑客”教父郭盛華透露:“根據我們的建議,所有人都更改了他們的密碼,並且其中一些人對其帳戶啟用了雙重身份驗證。”我們審查的幾乎所有密碼都是相對簡單的,並且很容易猜到。密碼很可能是通過爆庫獲得的,這是黑客用來猜測密碼的技術,或者是憑證填充,黑客在其中利用與不同網站匹配的現有的暴露或違反用戶名和密碼集來訪問帳戶。
Ring官方表示:“我們已經通知客戶,我們將其帳戶標識為已公開,並已重置其密碼。此外,我們將繼續監視並阻止可能未經授權的登錄嘗試進入Ring帳戶”。但是,Ring並未聯繫我們與之交談的任何人,這與該公司的說法背道而馳。
這是過去一週涉及Ring安全攝像機的最新安全漏洞。上週出現了有關黑客如何在美國各地闖入Ring攝像機的新聞報道。一些犯罪論壇正在共享闖入Ring帳戶的工具。然後,在本週早些時候,主板證實了Ring攝像機的安全措施比較拙劣,例如不告訴用戶什麼時候其他人登錄,何時正在積極觀看攝像機以及使用弱形式的兩因素身份驗證。Ring 不使用“最佳實踐”而將其歸咎於用戶。但是,其他人則因未能採取“基本安全措施”來保護用戶而感到反感。
目前尚不知道有多少套公開的Ring帳戶憑據在黑暗的網絡中漂浮。用戶應使用強大的唯一密碼保護自己的帳戶,並啟用兩因素身份驗證。(歡迎轉載分享)
閱讀更多 科技人物 的文章
