Amazon Ring : fuite de données personnelles de 3 000 utilisateurs
publié le 20 décembre 2019 à 14h30.
Amazon RingCC
Des couples identifiant-mot de passe qui peuvent permettre à n'importe quel possesseur de prendre le contrôle des caméras connectées, pour peu que l'authentification à double facteur n'est pas activée.
Amazon Ring est un projet qui a prit des dimensions exponentielles pour la boîte de Jeff Bezos. Rachetée en 2015, l’entreprise proposait trois ans plus tard deux nouveaux produits : les Ring Stick Up Cam Wired et Ring Stick Up Cam Battery — la première est un modèle filaire pensée pour l’intérieur, l’autre est une version portable pouvant être placée n’importe où, pensée avant tout pour une utilisation extérieure. Amazon a beaucoup parié sur les caméras, nouant près de 700 partenariats avec différentes polices locales tout autour des États-Unis (500 de plus qu’en avril), s’acoquinant avec les mêmes forces de l’ordre pour les inciter à adopter son système en leur organisant des fêtes, distribuant des goodies gratuits en échange de leur soutien au produit, et allant jusqu’à faire valider chacune des prises de paroles à son sujet. Le réseau des caméras Ring s’étend aujourd’hui sur l’ensemble du territoire américain, avec 440 000 installations.
Un manque d’hygiène numérique
Cependant, à mesure que ce réseau s’étend, les risques de sécurité se multiplient. On apprenait il y a quelques jours que des pirates diffusaient en direct leur intrusion sur une caméra via un podcast intitulé NulledCast diffusé sur Discord. Les pirates utilisaient la mauvaise hygiène numérique des propriétaires de caméras pour les retourner contre eux : en effet, la majorité d’entre eux n’activent pas l’authentification à double facteur et il est possible pour n’importe quelle personne possédant l’identifiant et le mot de passe de compromettre l’appareil.
3 672 identifiants en fuite
Ce souci pourrait aggraver la situation d’autres utilisateurs puisque comme le rapporte BuzzFeedNews aujourd’hui, les identifiants de connexion de 3 672 utilisateurs ont fuités sur Internet. Ils permettent non seulement de prendre le contrôle des appareils mais également de consulter les informations personnelles liées au compte : type de carte bancaire et ses quatre derniers numéros, cryptogramme, numéro de téléphone et l’historique des vidéos stockées sur le cloud sur les 30 ou 60 derniers jours selon l’abonnement. Amazon affirme qu’il n’y a eu aucune faille de sécurité de son côté, mais que la liste d’identifiants a été constituée à partir d’autres fuites et possiblement par une entreprise.
