نفوذ هکرها به هزاران دوربین Ring برای انتشار تصاویر خصوصی کاربران

هکرها طی دو هفته گذشته ده ها هزار نام کاربری و رمز عبور دوربین های امنیتی Ring را به سرقت برده و در دارک وب منتشر کرده اند. اینکار برای اثبات توانایی نفوذ انجام شده اما در برخی موارد هدف مهاجمان سرقت اکانت و ضبط فیلم از منازل کاربران بوده است.

هکرها برای دسترسی به این اعتبارنامه ها از روشی به نام Stuffing استفاده کرده اند که طی آن نام کاربری و رمز عبورهای لو رفته از سایت های دیگر جمع آوری شده و در سامانه کاربری Ring تست می شوند. این روش گاها جواب می دهد چون بسیاری از افراد از یک نام کاربری و رمز عبور مشابه برای ورود به سایت های مختلف استفاده می کنند.

ZDNet دستکم سه سری مختلف از این لیست ها را رویت کرده که هکرها برای اثبات توانایی خود به صورت عمومی منتشر کرده اند. مهاجمان مدعی بودند یکی از این لیست ها شامل اعتبارنامه ۱۰۰ هزار حساب کاربری است اما مسئولان Ring با رد این ادعا تعداد حساب های معتبر را تنها ۴ هزار مورد ذکر کرده اند.

از سوی دیگر BuzzFeed از افشای ۳۶۰۰ حساب کاربری خبر داده و تک کرانچ هم از لو رفتن لیست دیگری با ‍۱۵۰۰ اکانت سخن به میان آورده است. مسئولان Ring در جریان قرار گرفته و شروع به بازنشانی رمزهای عبور کرده اند.

یکی از سخنگویان Ring با رد هرگونه رخنه امنیتی در سرورهای این شرکت دلیل لو رفتن حساب های کاربری را حمله Stuffing و استفاده کاربران از نام کاربری و رمز عبورهای یکسان در پلتفرم های مختلف عنوان کرده. فارغ از اینکه این ادعا تا چه حد درست است، کمپانی مذکور می توانست با در پیش گرفتن معیارهای امنیتی ساده ای مثل CAPTCHA یا شناسایی چندین ورود به یک حساب، در برابر حملات هک خودکار از کاربرانش بیشتر حفاظت کند.