Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog
Les Infos du monde...
Les Infos du monde...

Soyez curieux..

Internet - informatique - high-tegh, Monde

Internet, informatique. Des pirates publient des identifiants Ring « pour rire »

24 Décembre 2019

Rédigé par JD et publié depuis Overblog

ZDnet. 24/12/2019.

Trois listes d’identifiants d'utilisateurs Ring ont fait surface cette semaine sur le web, ouvrant la porte à d’éventuels piratages.

Au cours des deux dernières semaines, des pirates ont publié des milliers d’identifiants de compte de caméra Ring valides sur les forums de piratage et le dark web.

Dans la plupart des cas, ils l'ont fait pour gagner se faire une réputation dans la communauté du piratage, mais aussi "pour rire", dans l'espoir que quelqu'un d'autre piraterait les utilisateurs de Ring, détournerait leurs comptes ou enregistrerait des utilisateurs chez eux.

Ces listes d’identifiant ont été compilées à l'aide d'une technique appelée « credential stuffing ». Les pirates ont utilisé des outils et des applications spéciales qui ont récupéré des identifiants dévoilés dans d’autres fuites de données et ont testé leur validité sur les systèmes d’authentification de Ring.

Lorsque les identifiants fonctionnaient, ils étaient publiés en ligne. Dans certains cas, les pirates ont également publié les outils qu'ils utilisaient pour laisser les autres pirates tenter leur chance eux-mêmes.

BuzzFeed a publié hier une liste de plus de 3 600 comptes Ring. TechCrunch a publié un article sur une autre liste de 1 500 comptes Ring. ZDNet a également reçu la liste reçue par TechCrunch.

La personne qui a donné l’information à ZDNet a déclaré avoir informé Ring du problème plus tôt cette semaine : la société a commencé à réinitialiser les mots de passe et à informer les clients.

Le nouveau passe-temps des pirates.

ZDNet a partagé la liste avec l'équipe de sécurité de Ring. La société explique que sur les 100 000 identifiants, seules 4 000 entrées concernaient des comptes Ring valides. La société n'était pas au courant de cette liste particulière, mais a déclaré qu'elle avait déjà réinitialisé les mots de passe et informé les propriétaires de comptes dans le passé, suggérant que d'autres pirates avaient identifié ces mêmes comptes dans le passé.

L'origine de ces données provenait également sans aucun doute des tactiques de credential stuffing. Tous les e-mails testés par ZDNet étaient présents dans des fuites connues d’identifiants de connexion.

Nous avons testé les identifiants grâce au service Have I Been Pwned, et ils ont tous été répertoriés dans diverses fuites de données où des combinaisons d'e-mails et de mots de passe avaient été divulguées dans le passé.

Certains des utilisateurs de Ring de la liste que nous avons contactés ont confirmé avoir réutilisé des mots de passe. Certains ont déclaré avoir changé de mot de passe par eux-mêmes après avoir lu des informations sur le piratage de caméras de sécurité Ring en ligne, sur divers sites. Certains utilisaient toujours les mots de passe et ont commencé à les changer après notre prise de contact.

En outre, le pirate informatique qui a publié la liste des 100 000 comptes a également précédemment publié une "Ring config" pour OpenBullet, un outil utilisé pour automatiser les attaques de credential stuffing.

Amazon se dédouane. Oui, mais.

Clic sur la photo ici :

Un porte-parole de Ring a déclaré à ZDNet hier qu'il n'y avait pas eu d’attaques de ses serveurs internes et que, de son côté, les comptes étaient compromis en raison d'attaques credential stuffing et du fait que les utilisateurs réutilisaient les mots de passe sur les services en ligne.

La société a publié la semaine dernière un article de blog contenant des conseils de base sur la façon dont les propriétaires de caméras Ring pouvaient sécuriser leurs comptes.

Dans un nouvel article cette semaine, Vice a déclaré que Ring pourrait faire mieux en ajoutant des fonctionnalités de sécurité supplémentaires à son système. Parmi les mesures évoquées, la prise en charge d'un CAPTCHA pour empêcher les attaques automatisées, ou un indicateur signalant lorsque plusieurs personnes sont connectées sur un même compte, pour aider les utilisateurs à détecter les intrusions.

Ring n'est pas la seule entreprise à avoir une faible protection contre les attaques de credential stuffing. Disney + a un problème similaire, et probablement pire - car il n'offre pas d'authentification à deux facteurs, contrairement à Ring.

Ring fait également face à une crise de communication du fait de sa collaboration un peu trop étroite avec les forces de l’ordre, qui déplaît à certains de ses clients.

 

 

Partager cet article
Repost0
Pour être informé des derniers articles, inscrivez vous :
Vous aimerez aussi :
Internet informatique. L'antivirus gratuit AVAST vend des données personnelles, et cela se savait.
Internet informatique. L'antivirus gratuit AVAST vend des données personnelles, et cela se savait.
France. Marseille : Premier recours contre la vidéo-surveillance automatisée.
France. Marseille : Premier recours contre la vidéo-surveillance automatisée.
WEB. Firefox va Mettre en place une confidentialité pour traduire les sites, à l’instar de Chrome.
WEB. Firefox va Mettre en place une confidentialité pour traduire les sites, à l’instar de Chrome.
Monde. Google déconnecte les caméras Xiaomi de ses Nest Hub, elles violaient votre vie privée.
Monde. Google déconnecte les caméras Xiaomi de ses Nest Hub, elles violaient votre vie privée.
Turquie. Des enfants dans la chaine de production de Ferrero Rocher.
Monde. Facebook : Les données privées de 267 millions d’utilisateurs circulent sur le Net
Commenter cet article
Thème Magazine - Hébergé par Overblog