Une fuite de données a révélé les renseignements personnels de plus de 3000 utilisateurs de Ring,
Mais la société a nié que ses systèmes avaient été compromis

Les informations d’identité de 3672 clients de la société Ring ont été compromies dans une fuite de données des sonnettes de porte Ring, a rapporté la semaine dernière le site Web d’information BuzzFeed News. La compromission a permis l’exposition des données utilisateur telles que les e-mails de connexion, les mots de passe, les fuseaux horaires et les noms spécifiques que les gens donnent à des caméras Ring. Cependant, selon l'entreprise, il n'y a pas eu de violation de données ou d'attaque sur les systèmes de la société.

Nick Shepherd, chercheur en sécurité néo-zélandais, a informé BuzzFeed News de la fuite. Shepherd, qui a utilisé un crawler pour rechercher toute fuite de données concernant les comptes Ring, a confié au site Web avoir trouvé la liste des identifiants compromis postés anonymement sur un site de stockage de texte. Ring est une startup spécialisée dans la sécurité à domicile qui vend des sonnettes permettant de capturer de la vidéo et de l'audio. La société, qui est célèbre pour sa sonnette de porte qui permet aux utilisateurs de voir, d'enregistrer et d'interagir avec une personne qui se présente à leur porte, fabrique également des caméras intérieures qui sont contrôlées par téléphone intelligent et autres appareils via le Wi-Fi.

Nom : r01.jpg
Affichages : 1294
Taille : 29,1 Ko

Selon BuzzFeed News, avec le courriel et le mot de passe de connexion exposés, un intrus pourrait accéder à l'adresse personnelle, au numéro de téléphone et aux renseignements sur le paiement d'un client de Ring, y compris le type de carte qu’il utilise, ainsi que ses quatre derniers chiffres et son code de sécurité. Une fois ses justificatifs d'identité volés, un intrus peut également accéder aux images, même en temps réel, de toutes les caméras Ring actives associées à un compte, ainsi qu'à un historique vidéo de 30 à 60 jours, selon le plan de stockage dans le nuage de l'utilisateur.

Cependant, Ring dit que ces données compromises ne proviennent pas d'une violation des systèmes de Ring. Mais la société n’a pas aussi dit à BuzzFeed News si la fuite concernait une tierce partie que Ring utilise pour fournir ses services. Un porte-parole de Ring a déclaré ceci au site Web :

« Ring n'a pas eu de brèche dans les données. Notre équipe de sécurité a enquêté sur ces incidents et nous n'avons aucune preuve d'une intrusion non autorisée ou d'une compromission des systèmes ou du réseau de Ring ». « Il n'est pas rare que de mauvais acteurs récoltent des données provenant de violations de données d'autres entreprises et créent des listes comme celle-ci afin que d'autres mauvais acteurs puissent tenter d'accéder à d'autres services », a-t-il ajouté. Le porte-parole a aussi dit que l'entreprise informera les clients qui ont été touchés et leur demandera de réinitialiser leurs mots de passe.

Les données exposées auraient été prises dans une base de données de l'entreprise

La déclaration du porte-parole de Ring laisse entrevoir la possibilité qu’une attaque par bourrage d'identifiants soit au cœur de la fuite de données de la sonnette de Ring. Cela se produit lorsqu'un nom d'utilisateur et un mot de passe sont volés lors d'une fuite de données sans rapport, et que ces justificatifs d'identité sont ensuite comparés à d'autres comptes. Si le client réutilisait l'ancien courriel et mot de passe volé sur son compte Ring, cela donnerait au voleur l'accès à celui-ci. Cela expliquerait également pourquoi un nombre curieusement élevé de comptes a été consulté par des intrus.

Cependant, des experts en sécurité, qui ont parlé à BuzzFeed News dans le cadre de la fuite, ont dit que le format des données divulguées, y compris le nom de la caméra et le fuseau horaire dans un format normalisé, suggère qu'elles ont été prises dans une base de données de l'entreprise. Selon eux, les données obtenues par le bourrage d'identifiants n'afficheraient probablement pas les données spécifiques à Ring comme le nom de la caméra ou le fuseau horaire.

Dans sa déclaration à BuzzFeed News, Cooper Quintin, chercheur en sécurité et technologue principal du personnel de l'Electronic Frontier Foundation a dit : « On pourrait dire que la personne a peut-être obtenu ces données par le biais du bourrage d’identifiants ». « Mais si c'était le cas, pourquoi cette personne a même ajouté les informations sur les noms de caméras et les fuseaux horaires ? »

Nom : r02.jpg
Affichages : 1082
Taille : 40,7 Ko

Après la découverte des données, Shepherd a appelé le service clientèle de Ring pour avertir de la fuite, mais sans succès, a rapporté BuzzFeed News. Il a ensuite publié le message de la fuite sur un site Web communautaire axé sur la cybersécurité le 16 décembre, et une personne s’identifiant comme membre de l'équipe de sécurité de Ring a encore déclaré que Ring n’était pas au courant de la fuite.

Shepherd a aussi dit à BuzzFeed News qu’il n’était pas surpris de la fuite des données de Ring, car les appareils compatibles avec le Wi-Fi, les appareils de maison intelligente, sont intrinsèquement vulnérables aux piratages et aux fuites de données. « C'est une porte ouverte », a-t-il dit, « et ils ne s'en rendent pas compte ».

Selon le site Web, un client touché par la fuite de données a dit qu'il avait reçu un avis le 18 décembre. BuzzFeed News a aussi vérifié la fuite en confirmant les informations exposées auprès de quatre autres personnes dont les connexions ont été compromises. Ces personnes ont dit n’avoir pas été avisées par Ring suite à la fuite. BuzzFeed a également noté qu’aucun d'entre eux ne disposait d'une authentification à deux facteurs activée sur son compte Ring.

Si vous possédez un appareil de marque Ring, et même si l’entreprise ne vous a pas contacté, il est évidemment fortement conseillé de réinitialiser votre mot de passe dès à présent. Pour éviter le risque qu’un hacker devine vos identifiants, choisissez un mot de passe unique et robuste. Optez aussi pour l’authentification à deux facteurs proposée dans les paramètres, pour ajouter une couche supplémentaire de sécurité faisant appel par exemple à votre téléphone portable.

Il n'y a pas de moyen évident de savoir si des acteurs malveillants exploitent un compte Ring compromis

Selon le rapport de BuzzFeed News, Ring n'alerte pas les utilisateurs en cas de tentative de connexion à partir d'une adresse IP inconnue, ni ne leur indique combien d'autres personnes sont connectées à un compte en même temps. Pour cette raison, il n'y a pas de moyen évident de savoir si des acteurs malveillants se sont connectés aux comptes Ring compromis des personnes sans leur consentement.

« Je ne pensais pas que cela arriverait avec une société de sécurité », a déclaré l'un des utilisateurs concernés par la fuite à BuzzFeed News. Tous les utilisateurs concernés ont déclaré qu'ils avaient changé leurs mots de passe, mais qu'ils n'avaient pas l'intention de désinstaller leurs caméras de sécurité ou de cesser d'utiliser les produits et services de Ring. Selon M. Quintin, « Cela illustre le fait que lorsque vous apportez une caméra connectée à Internet dans votre maison, vous faites potentiellement entrer n'importe qui sur Internet dans votre maison ».

La semaine dernière, un chercheur en sécurité de Bitdefender a découvert que 1 562 adresses e-mail et les mots de passe correspondants étaient à vendre sur le dark web depuis ce mardi 17 décembre 2019. Le chercheur a présenté le problème à Amazon, qui lui a demandé de ne surtout pas l’exposer à la presse. Au moment de la rédaction du rapport sur l’affaire, les identifiants étaient toujours disponibles sur le dark web et le problème n’avait toujours pas été résolu par les équipes de sécurité de Ring.

Le besoin de mots de passe forts et uniques est un sujet largement partagé, mais le message n'atteint pas encore tous les utilisateurs de technologie. Une autre facette inquiétante avec les fuites de données de ce genre est que les utilisateurs installent des choses comme une caméra connectée à Internet qui enregistre la chambre de leurs enfants. Changer les mots de passe fréquemment est, par conséquent, une excellente idée, car un trésor d'anciens identifiants de connexion pourrait se retrouver en ligne ou être découvert longtemps après les faits.

Source : BuzzFeed News

Et vous ?

Que pensez-vous de cette découverte de données personnelles alors que la sécurité en ligne et la question de mot de passe fort sont au cœur de l’actualité ?
Selon vous, comment résoudre le problème récurrent d’utilisation de mots de passe faibles ou évidents par les utilisateurs ?
Selon des experts, à cause de leur format normalisé, les données exposées ont été prises dans une base de données de Ring. Qu’en pensez-vous ?

Lire aussi

Un chercheur en sécurité a découvert plus de 1500 identifiants Amazon Ring en vente sur le Dark Net, permettant d'accéder à l'ensemble des appareils connectés aux sonnettes
Amazon et Ring distribuent leurs dispositifs de surveillance connectés en utilisant les agents de police, comme des représentants commerciaux
Plus de 267 millions de noms et de numéros de téléphone provenant de Facebook ont été divulgués en ligne, selon des chercheurs en sécurité
De nombreux systèmes militaires américains critiques pour la sécurité utilisent désormais Linux, un système d'exploitation qui répond au mieux aux exigences du gouvernement ?