Como foi o ataque às câmeras de vigilância Ring, que chegou a permitir que um criminoso conversasse com uma menina de 8 anos. Esse caso de 2019 continua servindo como alerta, especialmente em épocas de promoções: a câmera foi comprada às vésperas do Natal, aproveitando as ofertas da Black Friday.
Em dezembro de 2019, com o Natal se aproximando e os descontos da Black Friday ainda frescos, as câmeras de segurança Ring tornaram-se um dos presentes mais desejados. Porém, a verdadeira surpresa foi o ataque que esses dispositivos sofreram, colocando em risco a privacidade de seus usuários.
A seguir, analisaremos como esse ataque aconteceu, as consequências para as vítimas, o impacto na privacidade das pessoas (com o grave episódio em que o criminoso chegou a entrar em contato com uma menina de 8 anos) e, claro, quais medidas você pode adotar para reduzir o risco e proteger sua privacidade.
Como as câmeras Ring foram hackeadas?
Desde o site Vice, foi relatado que os cibercriminosos exploraram uma senha fraca para acessar o painel de controle da câmera. Para isso, utilizaram um software especial capaz de processar nomes de usuário, endereços de e-mail e senhas, tentando fazer login nas contas das vítimas, algo que já foi observado, por exemplo, no ataque às contas da Uber.
Uma vez que os criminosos obtiveram as credenciais de acesso, puderam controlar as câmeras com muita facilidade. Como veremos a seguir, eles conseguiram desde fazer "pegadinhas" com as vítimas e invadir sua privacidade gravando vídeos sem consentimento até interagir diretamente com elas e realizar algum tipo de golpe.
Casos reais (e assustadores)
Para entender o impacto que esse tipo de ataque pode ter, vale compartilhar relatos reais e conhecer até onde os atacantes podem chegar.
Para uma família no Mississippi, o primeiro alerta aconteceu quando a câmera, que havia sido instalada há poucos dias, começou a tocar música de forma inesperada. A situação se agravou quando a filha de 8 anos perguntou para a câmera se havia alguém do outro lado. “Sim, o seu melhor amigo, o Papai Noel”, respondeu uma voz masculina perturbadora, que chegou até a pedir que fossem amigos.
Imagem 1. Câmera da Ring hackeada.
Fonte: vice.com
Algo semelhante aconteceu com uma mulher no Texas, que foi surpreendida repentinamente por uma voz vinda de sua câmera, afirmando ser da equipe de suporte da Ring. A voz informou que haviam detectado um problema com sua câmera, pois sua conta teria sido invadida por um hacker, e que ela deveria pagar 50 Bitcoins para resolver a situação. Além disso, o atacante a ameaçou, dando a entender que estava muito próximo de sua casa. Em resposta, a proprietária desligou a câmera e removeu a bateria.
Esses são apenas alguns exemplos, mas houve outros ataques a câmeras Ring em diferentes partes dos Estados Unidos, como em Connecticut, Flórida, Nova York e Geórgia. Chegou ao ponto de alguns atacantes transmitirem ao vivo seus hackeios a câmeras Ring em um podcast.
Dezembro de 2019 foi realmente desastroso para a Ring, pois, além dos incidentes mencionados, houve um vazamento de dados que expôs informações pessoais de mais de 3.000 usuários. Estamos falando de endereços de e-mail, senhas, fusos horários e até os nomes que as pessoas deram a cada uma das câmeras.
O que a Ring diz sobre isso?
Diante desse cenário, a resposta da Ring não demorou. A empresa afirmou que esse hackeio não foi resultado de uma falha de segurança em suas câmeras, sugerindo que os atacantes conseguiram os dados de acesso (usuário e senha) por outros meios. A Ring também alertou seus usuários sobre o risco de reutilizar a mesma senha em diferentes sites e contas.
"A Ring não sofreu nenhum vazamento de dados. Nossa equipe de segurança investigou esses incidentes e não temos evidências de uma intrusão não autorizada ou de que os sistemas ou a rede da Ring tenham sido comprometidos. Não é incomum que atores maliciosos coletem dados de vazamentos de outras empresas e criem listas como esta para que outros atores tentem obter acesso a outros serviços", afirmou um porta-voz da empresa, segundo o site BuzzFeedNews.
Ainda assim, a Ring enviou uma carta aos usuários afetados pelo vazamento:
Imagem 2. E-mail enviado pela Ring aos usuários afetados pelo vazamento.
Fonte: BuzzFeedNews
Leitura recomendada:Segurança em dispositivos IoT: estamos finalmente percebendo a importância?10 principais falhas de segurança em dispositivos IoT
Como evitar o hackeamento de seus dispositivos IoT?
Cenários como os mencionados acima nos levam a refletir sobre como lidamos com a segurança de nossos dispositivos e, consequentemente, como protegemos nossa privacidade e intimidade.
Por isso, encerramos com algumas boas práticas e recomendações para garantir que seus dispositivos cumpram sua função principal e não sejam explorados por agentes maliciosos para cometer crimes:
- Alterar as credenciais padrão do dispositivo IoT por senhas fortes e únicas.
- Sempre que possível, habilite a autenticação em dois fatores para adicionar uma camada extra de segurança.
- Manter o dispositivo sempre atualizado.
- Revisar as permissões concedidas ao dispositivo para verificar se ele tem acesso a outros equipamentos ou a algumas de nossas contas. O ideal é fornecer apenas as permissões realmente necessárias.
- Desabilitar funcionalidades do dispositivo que não serão utilizadas. Se a conectividade de rede não for essencial, o ideal é mantê-la desativada.