Cómo los piratas informáticos están entrando en cámaras de Ring

Los hackers han creado un software dedicado para entrar en las cámaras de seguridad Ring, de acuerdo con publicaciones en foros de pirateo revisados ​​por Motherboard. La compañía de cámaras es propiedad de Amazon, que tiene cientos de asociaciones con departamentos de policía de todo el país.

El miércoles, los medios locales de Tennessee informaron que un pirata informático irrumpió en una cámara Ring instalada en el dormitorio de tres niñas en el condado de DeSoto, Mississippi, y habló a través de los altavoces del dispositivo con uno de los niños.

La familia dijo que tenían la cámara durante cuatro días, tiempo durante el cual el pirata informático pudo haber estado observando a los niños durante sus días.

Según el medio de noticias local de Tennessee WMC5 , los padres instalaron la cámara Ring en el dormitorio de sus tres hijas para vigilarlas. Las cámaras Indoor Ring funcionan con una aplicación móvil que permite a los usuarios ver lo que sucede en tiempo real y usar el altavoz para hablar a través de la cámara.

“Investigué mucho sobre esto antes de obtenerlos. Sabes, realmente sentí que era seguro «, dijo Ashley LeMay, la madre de las niñas, a WMC5. Una gran parte de la estrategia de marketing de Ring gira en torno a hacer que los clientes sientan que sus propios hogares no son seguros, por lo que recurrirán a dispositivos de vigilancia para aliviar esos temores .

En un video obtenido por WMC5 por cortesía de la familia, puedes ver lo que habría visto el hacker: un punto de vista que se cierne sobre toda la habitación desde donde está instalada la cámara en un lugar lejano esquina, mirando hacia abajo en sus camas y vestidores mientras juegan. Se escucha al hacker tocar la canción « Tiptoe Through the Tulips » a través de los altavoces del dispositivo, y cuando una de las hijas, que tiene ocho años, se detiene y pregunta quién está allí, el hacker dice: «Es Santa . Es tu mejor amigo «.

Los padres le dijeron a WMC5 que no habían configurado la autenticación de dos factores para el dispositivo; De lo contrario, sería más fácil para alguien cambiar su contraseña y tomar el control de su cuenta.

Al igual que otros hackers de cámaras domésticas inteligentes de IoT, este utilizó la débil seguridad de la contraseña en la cuenta Ring de los padres para acceder a su tablero y hablar directamente a través del dispositivo. Una tienda local de NBC también informó que los piratas informáticos apuntaron recientemente a la cámara Ring de una familia de Florida, con el pirata informático gritando insultos raciales a través del dispositivo.

La noticia destaca cómo, aunque un mayor nivel de protección para las cuentas Ring está disponible con autenticación de dos factores, algunos usuarios no lo están implementando, y Ring tampoco está forzando su implementación, a pesar de que una cámara Ring potencialmente permite pirata informático para espiar conversaciones o ubicaciones sensibles.

Motherboard encontró varias publicaciones en diferentes foros delictivos donde los piratas informáticos discuten la creación de herramientas para entrar en las cuentas de Ring que están conectadas a las cámaras.

«Ring Video Doorbell Config», se lee un hilo en un foro de piratería. Una configuración es un archivo que se utiliza para manejar un software especial para desplazarse rápidamente a través de nombres de usuario o direcciones de correo electrónico y contraseñas e intentar usarlos para iniciar sesión en cuentas. Los hackers han desarrollado configuraciones para una amplia variedad de sitios web y servicios en línea,  desde Uber a Facebook.

El título del hilo agrega que la configuración tiene un «CPM alto» o «verificación por minuto» alta, lo que significa que puede probar si un nombre de usuario y contraseña permiten el acceso a una cámara Ring rápidamente. En un hilo diferente, un hacker está ofreciendo un corrector Ring.com por $ 6.

Un verificador de cuentas de anillo anunciado en un pirateo foro. Redacción por Motherboard. Imagen: Placa base
Un verificador de cuentas de anillo anunciado en un pirateo foro. Redacción por Motherboard. Imagen: Placa base

Aparentemente hay demanda para el archivo, con un usuario agregando en el hilo, «Vi a varias personas preguntando por esta configuración».

Otro agregó: «Supongo que solo los usaría si realmente estamos [sic] planeando irrumpir en la casa de las personas».

Pero, este tipo de cuenta también puede usarse para hostigar. En el caso de la cámara pirateada en el condado de DeSoto, el padre de las niñas estaba abajo durante el ataque y subió para detener la cámara. Cualquier cantidad de investigación sobre la seguridad de las cámaras en el hogar revelaría muchos ejemplos que muestran por qué, para la mayoría de las familias, poner una cámara en la habitación de los niños es un riesgo innecesario: muchas cámaras domésticas inteligentes y dispositivos IoT han sido pirateados en el pasado.

Otra herramienta que se anuncia para entrar en Ring cuentas Redacciones por Motherboard. Imagen: Motherboard
Otra herramienta que se anuncia para entrar en Ring cuentas Redacciones por Motherboard. Imagen: Motherboard

Un portavoz de Ring dijo en un comunicado: «La confianza del cliente es importante para nosotros y tomamos en serio la seguridad de nuestros dispositivos. Si bien todavía estamos investigando este problema y estamos tomando las medidas adecuadas para proteger nuestros dispositivos en función de nuestra investigación, podemos confirmar que este incidente no está relacionado de ninguna manera con una violación o compromiso de la seguridad de Ring.

«Como precaución, alentamos a todos los usuarios de Ring a [ 19459029] habilite la autenticación de dos factores en su cuenta Ring, agregue usuarios compartidos (en lugar de compartir credenciales de inicio de sesión), use contraseñas seguras y regularmente cambie sus contraseñas , «it

Corrección: Esta pieza se ha actualizado para corregir la ubicación de la primera carcasa de la cámara. La cámara está en el condado de DeSoto, Mississippi, no Tennessee. La placa base lamenta el error.

 


Por Joseph Cox