Un investigador de seguridad ha encontrado en la web oscura 1.562 direcciones de correo electrónico y contraseñas únicas asociadas con las cámaras de la marca Ring, de Amazon, cámaras que ya fueron protagonistas hace unos días por la invasión de una de ellas en la habitación de una niña de ocho años.
Este martes se cargaron en un sitio anónimo de intercambio de texto en la web oscura, miles de passwords de estas cámaras, con información como la zona horaria y la ubicación de la cámara, como «entrada» o «puerta principal».
Comentan en TC, donde hicieron la captura que veis arriba, que el investigador informó los hallazgos a Amazon, quien solicitó que no divulgue públicamente sus hallazgos. El problema es que la lista continúa estando disponible.
Es la segunda filtración informada de credenciales de Ring en poco tiempo. Ayer mismo BuzzFeed News informó que se publicaron en línea datos similares de más de 3.600 cámaras, cualquier persona con una dirección de correo electrónico y contraseña que funcione puede iniciar sesión en una cuenta de Ring y obtener la dirección, el número de teléfono y cierta información de pago del cliente de Ring. Las credenciales también le dan al usuario acceso a los dispositivos Ring en ese hogar, incluido el acceso a datos de video históricos si la configuración está habilitada.
Casi todas las contraseñas son fáciles de encontrar, tipo «123456» o «password», por lo que es posible que se obtuvieran mediante fuerza bruta o probando contraseñas habituales de esas que se divulgan en artículos del tipo «las 100 contraseñas más usadas del momento«.
Desde Ring indican que han notificado a los clientes cuyas cuentas han identificado como expuestas y han restablecido sus contraseñas. Dicen que siguen monitoreando y bloqueando intentos de inicio de sesión potencialmente no autorizados en las cuentas de Ring, y niegan que haya habido una invasión en sus sistemas, lo que refuerza el hecho de haber conseguido las contraseñas en listados públicos.
Motherboard, por otro lado, confirmó que las cámaras Ring tienen medidas de seguridad de mala calidad, como no decirles a los usuarios cuándo otras personas inician sesión, o cuándo las cámaras están siendo observadas activamente, por lo que está claro que sí se puede hacer algo para evitar estos problemas.
Aquí os dejamos un vídeo sobre la Deep Web para que entendáis mejor el contexto de la noticia: