有黑客不断在网上公开Ring摄像头登录凭证
在过去的两周里,有黑客在论坛和暗网上陆续发布了数千个有效的Ring摄像头的帐户凭证。
在大多数情况下,类似行为是为了在黑客社区赢得声誉,也是希望看到他人进行“恶作剧”。
黑客使用特殊的工具和应用从其他网站的数据泄露中获取用户名和密码,并在Ring的帐户系统上测试其有效性。
他们在网上公布了大量的“用户名-密码”组合。在某些情况下,黑客还会公布所使用的工具,让其他人自己动手。
BuzzFeed近期报道了一份包含3600多个Ring帐户的名单,TechCrunch报道了另一份1500个Ring帐户的名单,ZDNet也收到了TechCrunch所收到的密码列表。
向ZDNet提供消息的人表示,他在本周早些时候通知了Ring,目前该公司开始重新设密码并通知客户。
ZDNet还收到了另外三个泄露源的链接,黑客们编制了含有大量敏感信息的凭证列表,然后统统扔到网上,提高自己在同行中的“声誉”。
其中两份列表已被删除了,最后一份声称含有10万个Ring帐户凭证。
ZDNet已和Ring的安全团队共享了这份列表,该公司表示,在这10万凭证中,只有4000份是有效的。虽然公司并不知道这一名单,但表示他们过去就已重置了相关密码并通知了用户,这表明其他黑客早已爆破过这些帐户。
从ZDNet的测试来看,这些登录数据很可能来自过去各种各样的数据泄漏事件。
ZDNet也联系了名单中的一些用户,发现很多人都重复使用了密码。一些人表示他们在网上看到多家网站的安全摄像头被黑客入侵的消息后,自己修改了密码;也有些人仍在使用旧密码,在我们联系他们之后,开始进行修改。
此外,发布了“10万”帐户凭证的黑客之前还发布了OpenBullet的“Ring config”,OpenBullet是一种自动化凭证填充攻击工具。
12月11日,号称“10万登录凭证”的名单在网上公布后,Vice网站也在同一天发表了一篇其中所涉及黑客工具的文章。
第二天,Vice发布了一份报告,讲述了黑客如何利用这些工具侵入普通用户,然后恐吓、恶作剧,并非法录像。这些音视频随后被分享到一个名为Nulledcast的播客中。
这两篇文章以及随后发表的系列文章详细介绍了和Ring摄像头相关的黑客行为,引发大面积讨论。
目前发布非法信息的Cracked和Nulled网站已禁止与“Ring”相关的任何话题,以防止引来执法部门的注意,不过这两个网站还有其他非法内容。
Ring的一位发言人表示,这些帐户之所以遭到泄露,是由于用户在多个互联网服务中使用了同一密码所致。
该公司上周发表了一篇博客文章,就如何保护用户的帐户安全、防止帐户劫持提供了一些建议。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://www.zdnet.com/article/hackers-keep-dumping-ring-credentials-online-for-the-giggles/
最新评论