Ring está emitiendo un restablecimiento de contraseña forzado para al menos 3.672 usuarios después de que las credenciales de inicio de sesión para acceder a sus cámaras conectadas a Internet se encontraran circulando en Internet.
Ring restableció las contraseñas después de que un investigador de seguridad anónimo descubrió las credenciales en un sitio de almacenamiento de texto, según BuzzFeed.
La lista no solo contiene direcciones de correo electrónico y contraseñas, sino también la zona horaria y los nombres de los usuarios afectados asignados a cada cámara Ring que poseen, como "dormitorio" o "puerta de entrada".
Ring hace hincapié en que la propia empresa no fue violada.
En cambio, sospecha que un pirata informático compiló la lista recolectando credenciales de inicio de sesión expuestas en violaciones de datos pasadas en otros sitios de terceros.
"No es raro que los malos actores recopilen datos de las filtraciones de datos de otras empresas y creen listas como esta para que otros malos puedan intentar obtener acceso a otros servicios", dijo Ring a Daxdi en un comunicado.
La noticia se produce una semana después de que un grupo de piratas informáticos secuestrara varias cámaras Ring en Estados Unidos para espiar y acosar a sus dueños.
Se ha descubierto que los ciberdelincuentes venden y hacen circular abiertamente las listas de credenciales de inicio de sesión de las cámaras Ring en foros de piratas informáticos.
Ring, que es propiedad de Amazon, culpa del problema a los usuarios que registran sus cámaras con contraseñas débiles.
Sin embargo, los investigadores de seguridad dicen que la compañía debería hacer más para proteger a sus clientes, especialmente porque las cámaras Ring tienen acceso a los hogares de las personas.
"Ni siquiera están implementando los controles de seguridad más básicos para proteger las cuentas de los usuarios y están tratando de desviar la culpa arrojando a sus clientes debajo del autobús", agregó.
Cooper Quintin, investigador de seguridad de la Electronic Frontier Foundation.
Una medida de seguridad que Ring podría adoptar es la autenticación de dos factores.
Esto requeriría que cualquiera que inicie sesión también escriba un código de acceso de un solo uso, generado en el teléfono inteligente del cliente.
La protección hace que sea más difícil violar una cuenta a expensas de cierta conveniencia.
Pero por ahora, Ring solo anima a los usuarios a activar la autenticación de dos factores en lugar de hacerla obligatoria.
Según BuzzFeed, el investigador de seguridad anónimo que encontró la lista trató de advertir a Ring sobre las credenciales de inicio de sesión primero en el número de atención al cliente de la compañía solo para que le dijeran que el representante de Ring "no podía ayudar".
Luego, el investigador hizo una publicación en el subforo centrado en la seguridad cibernética en Reddit sobre la lista de inicio de sesión, que llamó la atención del miembro del equipo de seguridad de Ring.
Recomendado por nuestros editores
Ring dice que es "seguir supervisando y bloqueando los intentos de inicio de sesión potencialmente no autorizados "en las cuentas de los clientes.
No obstante, es posible que haya más de una lista de credenciales de inicio de sesión de Ring circulando en línea.
El jueves, TechCrunch también informó sobre lo que parece ser una lista separada que contiene 1.562 inicios de sesión, que un hacker ha publicado en la web oscura.
Para mantenerse seguro, es mejor activar la autenticación de dos factores para cualquier cámara conectada a Internet.
También debe utilizar contraseñas únicas y difíciles de adivinar como inicio de sesión.