Am vorbit cu tipul care te-ar putea spiona prin camerele video pe care le ai în casă

Articolul a apărut inițial în Motherboard

La începutul lunii noiembrie, Hank Fordham, în vârstă de 22 de ani, s-a legat la camera unui tip din Arizona prin Nest security, tocmai din Calgary, Canada. După, a început să-și difuzeze vocea direct proprietarului și l-a avertizat în privința device-ului nesecurizat. Asta nu a fost prima invazia a lui Fordham.

În ultimul an, Fordham spune că el și colegi săi din gruparea Anonymous Calgary Hivemind, un colectiv de hackeri, au intrat în vreo zece camere de supraveghere inteligente și au comunicat cu oamenii din casă.

Fordham mi-a spus la telefon despre scopul incidentului destul de mediatizat din Arizona, că nu a fost de a speria, ci pentru a avertiza utilizatorii că nu sunt atât de securizați pe cât au crezut.

Fordham a mai spus că obiectivul era să stârnească un fel de reacție din partea Nest după suficiente interacțiuni, pentru a repara vulnerabilitatea.

L-am contactat pe Fordham prin mail către Anonymous Calgary. Cineva a răspuns și a spus că va pune persoana potrivită în contact. La scurt timp după ce am primit un mail, Twitter DM și mesaj vocal de la Fordham. Mi-a și recitat mesajul pe care l-am trimis inițial pentru a verifica dacă a primit informațiile corecte de la grup.

Fordham mi-a spus că a obținut accesul printr-o tehnică simplă, cunoscută drept credential stuffing. Atunci când se întâmplă o încălcare a datelor la scară largă, cum a fost cazul Quora de la începutul acestei luni, baza de date cu informațiile furate, cae poate include mailuri și parole asociate, deseori ajunge să fie vândută și cumpărată pe web. Listele alea de mailuri și parole pot fi accesate cu ușurință, nici măcar nu trebuie să intri pe darkweb.

Dacă folosești același mail și parolă ca să te loghezi în mai multe conturi, un hacker poate foarte simplu să le acceseze cu informații credențiale din logările anterioare care au fost scurse. Există chiar și un software care încearcă automat toată combinațiile de logări dintr-o bază de date. Fordham a avertizat că e foarte ușor să hack-uiești așa.

„Multe dintre uneltele astea ajung disponibile chiar și pe web-ul public”, a spus Fordham. „E ceva comun acum și grupurile de crack-uit Fortnite, cu tineri care vând conturi Fortnite pe care le-au obținut prin exact aceeași metod. Chiar există copii în lume care fac asta.”

Apelul video din Arizona a fost filmat de către utilizatorul Nest, agentul imobiliar din Phoenix, Andy Gregg. Gregg a distribuit clipul către o publicație locală, pentru a ridica problema riscurilor device-urilor cu conexiune la internet nesecurizată. În clipul ăsta, poți să auzi vocea lui Fordham în difuzor, care îi spune lui Gregg că l-a contactat în cel mai dubios mod posibil pentru a-l avertiza.

Motherboard a reușit să verifice că Fordham e aceeași persoană care a hackuit device-ul, cu ajutorul unor screenshot-uri pe care le-a distribuit, care includeau și numele camerei lui Gregg, pe care am verificat-o cu Gregg. El mai avea și adresa de mail, iar omul ne-a spus că de atunci a mai vorbit cu Fordham la telefon și este convins că e vorba de aceeași persoană.

Gregg mi-a mai spus că de atunci nu a mai folosit camerele Nest și nici nu mai are de gând să le mai folosească vreodată, nici măcar cu măsuri în plus, deoarece e prea tulburat de toată experiența.

„A fost atât de ciudat”, a spus Gregg. „A fost un sentiment similar cu acela de a fi jefuit, cu toate lucrurile tale împrăștiate peste tot. M-am panicat foarte tare.”

Fordham mi-a spus că își dă seama cât de dubioasă a fost abordarea și că a sta pe gânduri cu colegii săi dacă ar fi cea mai bună metodă de a contacta oamenii.

„De obicei, trimiteam mailuri în masă pentru a alerta oamenii, care în general erau ignorate”, a spus Fordham. „După ce am stat de vorbă cu colegii din Hivemind, și am discutat că nu se luau măsuri, am decis să contactăm audio câțiva dintre utlizatori.”

Ăsta e un scenariu despre care Fordham consideră că ar fi putut fi evitat, dacă Nest ar fi luat măsurile de precauție necesare, cum ar fi să ofere autentificare în doi pași (2FA) și să-și schimbe parolele comune, atunci când sunt compromiși pe un alt site.

Nest a trimis în trecut mailuri către utilizatori când parola lor a fost detectată într-un furt de informații, așa cum s-a întâmplat în mai anul acesta. Gregg mi-a spus că nu a primit niciodată un astfel de mail.

„Nest a resetat toate conturile în care clienții reutilizau parolele care au fost expuse anterior prin încălcări pe alte site-uri web și apoi publicate", mi-a spus un purtător de cuvânt de la Nest într-un mail. „Pentru a spori securitatea parolei, împiedicăm clienții să utilizeze parole care apar pe listele compromise publice. Ca și înainte, îi încurajăm pe toți clienții să utilizeze verificarea cu doi factori pentru a spori securitatea contului, chiar dacă parola este compromisă. "

Fordham, care este la rândul său un utilizator Nest, a spus că nu este foarte intuitiv să bagi autentificare 2FA pentru o unitate Nest și este clar că nu toți utilizatorii primesc mesajul, după cum reiese din numărul de conturi pe care Fordham și alți hackeri de la Calgary Anonymous Hivemind le-au spart. Fordham mi-a povestit despre un salon de coafură din Toronto care a înregistrat și întâlnirea, deși încă nu a văzut materialul înregistrat online.

Deși e important să asiguri o securizare de bază și protecția confidențialității, care ajută la reducerea riscului de spargere a contului, este, de asemenea, o învățătură de minte că marile corporații nu se dau peste cap ca să-ți asigure siguranța datelor personale.

Multă lume consideră că nimeni nu o să-și piardă timpul să-i spioneze prin camera web, dar ai fi surprins în zilele noastre.