ahnuzfm 2019-12-20
近日,国内知名网络黑客安全组织,东方联盟安全研究人员在暗网上发现了1562个与Ring关联的唯一电子邮件地址和门铃密码。
密码列表已于周二上载到一个匿名的暗网文本共享站点,该站点通常用于共享被盗的密码和非法材料。东方联盟安全研究人员发现了电子邮件地址和密码的缓存,可用于登录和访问摄像机以及摄像机的时区和门铃的位置,例如“车道”或“前门”。
研究人员向拥有Ring品牌的亚马逊报告了研究结果,但亚马逊要求研究人员不要公开讨论他们的发现。在撰写本文时,仍然可以访问黑暗的网络清单。这是今天第二次报告的Ring凭证泄漏。周四早些时候,在线存储了3600多个Ring Doorbells上的类似数据缓存。该数据似乎是与BuzzFeed获得的数据看起来相似的数据集。
具有有效电子邮件地址和密码的任何人都可以登录Ring帐户并获取Ring客户的地址,电话号码和一些付款信息。凭据还使用户可以访问该家庭中的Ring设备,包括在启用设置的情况下访问历史视频数据的权限。数据是如何公开的还不得而知。
东方联盟创始人,知名“黑客”教父郭盛华透露:“根据我们的建议,所有人都更改了他们的密码,并且其中一些人对其帐户启用了双重身份验证。”我们审查的几乎所有密码都是相对简单的,并且很容易猜到。密码很可能是通过爆库获得的,这是黑客用来猜测密码的技术,或者是凭证填充,黑客在其中利用与不同网站匹配的现有的暴露或违反用户名和密码集来访问帐户。
Ring官方表示:“我们已经通知客户,我们将其帐户标识为已公开,并已重置其密码。此外,我们将继续监视并阻止可能未经授权的登录尝试进入Ring帐户”。但是,Ring并未联系我们与之交谈的任何人,这与该公司的说法背道而驰。
这是过去一周涉及Ring安全摄像机的最新安全漏洞。上周出现了有关黑客如何在美国各地闯入Ring摄像机的新闻报道。一些犯罪论坛正在共享闯入Ring帐户的工具。然后,在本周早些时候,主板证实了Ring摄像机的安全措施比较拙劣,例如不告诉用户什么时候其他人登录,何时正在积极观看摄像机以及使用弱形式的两因素身份验证。Ring 不使用“最佳实践”而将其归咎于用户。但是,其他人则因未能采取“基本安全措施”来保护用户而感到反感。
目前尚不知道有多少套公开的Ring帐户凭据在黑暗的网络中漂浮。用户应使用强大的唯一密码保护自己的帐户,并启用两因素身份验证。(欢迎转载分享)