"Przepraszam, jeśli Cię przestraszyłem" mówi haker do mieszkańca Arizony poprzez kamerę nadzoru Nest
Agent nieruchomości z Phoenix (w Arizonie) twierdzi, że przez zainstalowaną w jego domu kamerę nadzoru marki Nest przemówił haker. Dowcipnisiowi udało się zalogować do urządzenia dzięki nielegalnemu zdobyciu poświadczeń.
21.12.2018 | aktual.: 26.12.2018 11:23
Nie mając pojęcia o tym, że nazwa użytkownika i hasło logowania do jego kamery nadzoru zostały wykradzione, Andy Gregg był zaskoczony słysząc dziwne głosy w swoim domu. Przebywał na podwórku, kiedy usłyszał głos hakera. Początkowo myślał, że do jego domu dostał się włamywacz. Wkrótce jednak zidentyfikował źródło dźwięku: swoją własną kamerę nadzoru Nest Cam IQ.
Podający się za członka anonimowej grupy hakerów White Hat intruz poinformował Gregga, że jego prywatne dane zostały naruszone (prawdopodobnie we wcześniejszym ataku). Wyrecytował nawet kilka haseł, których Gregg zwykł używać do różnych kont internetowych. Wprawdzie haker nie miał dostępu do kanału wideo ani nie znał lokalizacji Gregga, ale oświadczył, że bardziej zmotywowany włamywacz nie będzie miał problemów ze znalezieniem tych informacji.
"Naprawdę przepraszam, jeśli Cię przestraszyłem, czy coś... Zdaję sobie sprawę z tego, że to bardzo nieprofesjonalne i przykro mi, że stało się to o tak późnej porze. Nie mamy żadnych złych zamiarów" – powiedział do Gregga, zgodnie z nagraniem uzyskanym przez The Arizona Republic.
Zapytany, jak się czuł po rozmowie z hakerem, Gregg powiedział dziennikarzom:
"W zasadzie czujesz się bardzo niepewnie. Wygląda to tak, jakby ktoś wszedł do twojego domu w celach rabunkowych. Wiedzą, kiedy tam jesteś; wiedzą, kiedy wychodzisz...".
Przedstawiciel będącej własnością Google firmy Nest Labs oświadczył, że jest świadomy tego, iż hakerzy uzyskują dostęp do jego produktów za pomocą haseł zdobytych w atakach na inne firmy. Konsekwencją tego jest możliwość niekontrolowanego dostępu do urządzeń. Nest sugeruje, by w celu stworzenia dodatkowej warstwy zabezpieczeń użytkownicy skonfigurowali w domowych urządzeniach uwierzytelnianie dwuskładnikowe. W sprzęcie marki Nest, inaczej niż w chińskich podróbkach i innych tanich urządzeniach IoT, nie ma domyślnych danych logowania – użytkownik musi skonfigurować urządzenie przy użyciu, znanego tylko jemu, unikalnego zestawu poświadczeń
Ustawodawcy w USA i Wielkiej Brytanii starają się wymusić w przypadku inteligentnych produktów stosowanie zasady "bezpieczeństwo przez projekt". Jak dotąd wydaje się, że przestrzega jej jedynie Kalifornia.
Poświadczenia Gregga wyciekły najprawdopodobniej w jednym z poważniejszych naruszeń odnotowanych w ubiegłym roku.
Przestępcy zazwyczaj kupują w "ciemnej strefie Internetu" wykradzione dane logowania i korzystając z technik typu credential stuffing uzyskują nieautoryzowany dostęp do innych kont, zabezpieczanych tą samą parą parametrów login-hasło. Ponieważ wiele osób używa jednego zestawu poświadczeń dla różnych kont internetowych, nietrudno jest wyobrazić sobie, jak inni użytkownicy przeżywają chwile grozy, podobnie jak Gregg. W takiej sytuacji należy natychmiast zmienić swoje hasła i włączyć uwierzytelniania wielopoziomowe (jeżeli nie zrobiono tego wcześniej) komentuje Dariusz Woźniak, inżynier techniczny Bitdefender z firmy Marken.
Zobacz też: Cybersejf. Zbierają ogrom informacji o tobie. Oto jak możesz to ograniczyć