Nicht die beste Presse bekommt gerade Ring, ein mittlerweile zu Amazon gehörendes Unternehmen, welches Sicherheitslösungen wie Kameras herstellt. Die kann man draußen sowie drinnen einsetzen. Schlechte Werbung bekam man durch Videos, die im Netz die Runde machten. Ein Angreifer, der Zugriff auf einen Account hatte, sprach mit Kindern und verängstigte diese über die Kameras. Horrorszenario, denn so ist man ja auch in den eigenen vier Wänden beobachtbar.
Laut Ring ist es so, dass man angeblich keinen Einbruch in die Systeme feststellen konnte, aber dies muss auch nicht stattgefunden haben, für einen Zugriff durch Dritte (wie im eben beschriebenen Fall). Viele Anbieter boten (und bieten!) lange Zeit keine Zwei-Faktor-Authentisierung an, und wenn Nutzer vielleicht irgendwo mal das identische Passwort und den Nutzernamen verwendeten, dann könnten Angreifer die Möglichkeiten einfach durchspielen.
Zitat Ring:
Das Vertrauen unserer Kunden ist uns wichtig und wir nehmen die Sicherheit unserer Geräte ernst. Unser Sicherheitsteam hat diese Vorfälle untersucht und wir haben keine Hinweise auf ein unbefugtes Eindringen in unsere Systeme oder eine Gefährdung des Netzwerks von Ring gefunden.
Vor kurzem wurden wir auf Vorfälle aufmerksam, bei denen böswillige Akteure die Zugangsdaten vereinzelter Ring-Nutzer (z.B. Benutzername und Passwort) von separaten, externen, nicht-Ring-Diensten erhalten und dazu verwendet haben, sich auch in deren Ring-Konto anzumelden. Leider ist es Eindringlingen möglich, Zugang zu einer Vielzahl von Konten zu erhalten, wenn derselbe Benutzername und das gleiche Passwort für mehrere Dienste wiederverwendet wird.
Nach Bekanntwerden der Vorfälle haben wir geeignete Maßnahmen ergriffen, um die Eindringlinge unverzüglich von nachweislich betroffenen Ring-Konten auszusperren und haben die entsprechenden Nutzer kontaktiert. Wir empfehlen Ring-Kunden ihre Passwörter zu ändern und die Zwei-Faktor-Authentifizierung zu nutzen.
Noch einmal zum Einbruch in die Systeme, den es ja nicht gegeben hat, laut Ring:
Buzzfeed hat Zugriff auf knapp 3.700 Datensätze von Kunden bekommen. Datensätze zum Einloggen, Namen der Kameras und Zeitzonen. Mehr muss man eigentlich nicht wissen. Mithilfe der Anmelde-E-Mail und des Passworts könnte ein Eindringling auf die Wohnadresse, Telefonnummer und Zahlungsinformationen eines Ring-Kunden zugreifen, einschließlich der Art der Karte, die er besitzt, sowie auf die letzten vier Ziffern und den Sicherheitscode. Ein Eindringling könnte auch auf Live-Kameramaterial von allen aktiven Ring-Kameras zugreifen, die mit einem Konto verbunden sind, sowie auf eine 30- bis 60-Tage-Videohistorie, je nach dem Cloud-Speicherplan des Benutzers.
Wie erwähnt: Ring bestreitet jegliche Behauptung, dass die Daten als Teil eines Einbruchs in die Systeme von Ring kompromittiert wurden. Der Ring-Sprecher fügte hinzu, dass das Unternehmen die betroffenen Kunden benachrichtigen und sie auffordern wird, ihre Passwörter zurückzusetzen. Ein betroffener Kunde teilte BuzzFeed mit, dass er am 18. Dezember eine Benachrichtigung erhalten habe. Sicherheitsexperten teilten BuzzFeed mit, dass das Format der durchgesickerten Daten – das Benutzername, Passwort, Kameraname und Zeitzone in einem standardisierten Format enthält – darauf schließen lässt, dass sie aus einer Firmendatenbank stammen.
Zitat Ring:
Unser Sicherheitsteam hat diese Vorfälle untersucht und wir haben keine Hinweise auf ein unbefugtes Eindringen in unsere Systeme oder eine Gefährdung des Netzwerks von Ring gefunden. Es gab keinen Einbruch in die Datenbanken von Ring. Die Daten stammen nicht aus einer Firmendatenbank von Ring. Wir benachrichtigen Kunden, die auf der Liste stehen, und setzen ihre Passwörter zurück. Die Kunden müssen ein neues Passwort vergeben. Darüber hinaus empfehlen wir unseren Kunden dringend, zum Schutz ihrer Konten eine Zwei-Faktor-Authentifizierung zu aktivieren.
Der Vorfall stammt aus den USA. Da läuft das ein bisschen anders. Über 700 Polizeidienststellen in den USA haben Verträge mit Ring unterzeichnet. Diese Verträge ermöglichen der Polizei den Zugang zum Strafverfolgungsportal des Unternehmens, das es der Polizei erlaubt, Kameraaufnahmen von Anwohnern anzufordern, ohne einen Haftbefehl zu erhalten.
Zitat Ring:
Ring ist das Vertrauen der Nutzer sehr wichtig und wir fühlen uns dem Schutz ihrer Privatsphäre verpflichtet. Unsere Kunden haben die uneingeschränkte Kontrolle darüber, wer ihre Aufzeichnungen oder Livestreams betrachten kann. Punkt. Wir planen nicht, dies zu ändern. Die Datenhoheit des Nutzers, sein Datenschutz und seine Sicherheit stehen bei all unseren Unternehmensentscheidungen an erster Stelle.
Nutzer haben die uneingeschränkte Kontrolle über das Videomaterial ihrer Ring-Kameras. In der Neighbors-App (Nur in den USA verfügbar) ist lediglich jener Teil öffentlich zugänglich, den diese zuvor bewusst gepostet haben. Die Polizei greift in der App auf dieselbe Oberfläche wie alle anderen Benutzer zu; es werden weder zusätzliche Inhalte noch die genaue Position des Posts oder die Identität des Nutzers preisgegeben. Der Polizei steht lediglich öffentlich zugängliches Videomaterial zur Verfügung, außer ein Nutzer beschließt freiwillig, zusätzliches Material zu teilen.
Ring gibt keine Kundeninformationen auf behördliche Anfragen frei, ohne dass zuvor eine gültige und gerichtlich bindende Anforderung an uns ergeht. Ring lehnt selbstverständlich alle darüber hinaus gehenden oder anderweitig unangemessenen Anfragen ab.
Deshalb vielleicht mal zu den Feiertagen, falls man etwas Zeit hat, schauen, was man für sich verbessern kann. Ring bietet mittlerweile die Zwei-Faktor-Authentisierung an. Aktiviert sie, falls nicht geschehen. Ändert euer Passwort. Vielleicht auch, wenn ihr Systeme anderer Hersteller einsetzt. Ring muss dennoch kritisiert werden, so wie jeder Hersteller. Warum gibt es keine Info auf mein Handy, wenn ein anderes Gerät auf mein Konto zugreift? Das schaffen mittlerweile so viele Dienste.
Geräte dieser Art werden wohl dieses Jahr zu Tausenden unter deutschen Weihnachtsbäumen liegen.