Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Wachtwoorden van duizenden gebruikers van slimme deurbel Ring verschijnen online

E-mailadressen en wachtwoorden van duizenden gebruikers van de slimme Ring-deurbel zijn uitgelekt. Daarmee is het mogelijk om mee te kijken met wie er voor de voordeur van een gebruiker staat. Ring zegt dat dat gebeurde door credential stuffing.

Het nieuws kwam naar buiten in twee verschillende berichten. Donderdag berichtte Buzzfeed dat er gegevens van 3672 klanten op straat liggen. De site kwam in contact met een beveiligingsonderzoeker die de informatie online vond. Later kwam ook Techcrunch met nieuws over een lek waarbij 1562 wachtwoorden waren gevonden op een anonieme Pastebin-site op het dark web. Het is onduidelijk of het gaat om hetzelfde datalek, maar beveiligingsonderzoekers met wie Techcrunch sprak, zeggen dat dat waarschijnlijk het geval is. Naast de wachtwoorden en gebruikersnamen zijn ook tijdzones te vinden, en de namen die gebruikers aan de camera's geven. Dat zijn over het algemeen namen van locaties waar de bel hangt, zoals 'voordeur' of 'oprit'.

In een reactie aan Buzzfeed schrijft Ring dat het geen last heeft gehad van een datalek. De data zou bij elkaar verzameld zijn uit databases van andere gehackte websites, al zegt Ring niet precies om welke databases het daarbij zou gaan. Met de data kan een aanvaller live meekijken met de camera's die in de bellen zitten. Ring raadt gebruikers aan hun wachtwoord te wijzigen en tweestapsverificatie in te stellen.

Ring ligt de laatste tijd regelmatig onder vuur. Onlangs schreef Motherboard dat hackers live meekeken met camera's en daar zelfs een podcast over maakten, maar het bedrijf werkt ook samen met Amerikaanse politiediensten die opnames van de bel onbeperkt mogen bewaren. De politie kon daar tot kort geleden ook gebruikmaken van een controversiële heatmap om te zien waar de camera's hingen. Ook in Nederland wordt de bel gebruikt; verschillende Nederlandse gemeenten delen gratis Ring-deurbellen uit aan burgers om de veiligheid op straat te vergroten.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Tijs Hofmans

Redacteur privacy & security

20-12-2019 • 15:16

99 Linkedin

Reacties (99)

Wijzig sortering
Naar mijn mening is hier sprake van een doofpot en heeft Ring grotere problemen dan ze beweren.

De reden: ik gebruik een uniek mailadres EN een uniek wachtwoord wat ALLEEN bij Ring zelf gebruikt wordt. Onmogelijk dat dit via een ander systeem gekomen kan zijn.

Stel ik zou via Ring via een onbeveiligd netwerk (wat bijna ook uit te sluiten is omdat ik altijd via mijn eigen VPN werk) een sniffer mijn wachtwoord hebben gecatched. Dan zouden dit nooit de aantallen zijn die in het artikel worden omschreven.

Vorige week in de nacht van donderdag op vrijdag ruim 20 sms berichtjes ontvangen omtrent the twofactor auth loginpogin. reden voor alarm. Vervolgens mijn account geblokkeerd (ook bij mij thuis) omdat er teveel foutieve loginpogingen zijn ondernomen.

Ik mail Ring met deze melding. Hun reactie:

For your concern, what we can do for you on our end Daniel is to disable the two-factor authentication for you. If you are alright with this I will need the following information.

MAC ID:
Ring Account Email:
First and Last Name:

Once I get the information, I will process the disable your two-factor authentication for you. Hope to hear from you soon.


Volgens mij gaat hier iets goed verkeerd.
volgens Ring heeft dit lek niets met ze te maken. Er zijn usernames en passwords gelekt van andere diensten maar dezelfde usernames en passwords zouden ook gebruikt zijn voor Ring accounts.
In de mail van Ring staat oa:
Here’s what happened.
Malicious actors obtained some Ring users’ account credentials (e.g., username and password) from a separate, external, non-Ring service and reused them to log into some Ring accounts.

When people reuse the same username and password on multiple services, it’s possible for malicious actors to gain access to many accounts.

We’ve taken appropriate action to block these malicious actors and contacted all affected users directly.
Volgens mij is het een te voorbarige conclusie om te stellen dat het via andere DBs komt. Ring zelf kan ook de oorsprong van de data niet achterhalen.

Ik gebruik een uniek wachtwoord en uniek mailadres en werk bijna 90% van de tijd via een eigen VPN tunnel.

De kans dat deze combinatie dus via een gehackte database online komt is bijna 0.

Hebben ze wel gekeken of het probleem niet intern ligt. Ik heb recent met Ring support center contact gehad en mijn Ring is recent vervangen.

Lijkt mij genoeg reden om het reactie van Ring goed te laten onderzoeken.
Hoewel dit technisch niet de schuld is van Ring, zijn hier daadwerkelijk maatregelen tegen te nemen. Microsoft heeft dit bv al gedaan: https://www.infosecurity-...oft-44-million-passwords/

Daarnaast heeft haveibeenpowned een API waaraan je kunt checken of gebruikte wachtwoorden gelekt zijn. Het zou chique zijn van bedrijven om hier bij password-creatie gebruik van te maken en alles wat in de DB voorkomt te weigeren.

Dat gezegd hebbende, moeten we misschien ook gewoon de conclusie trekken dat passwords sowieso niet meer secure zijn...
Het gaat om gecomprimiteerde credentials die bij andere hacks zijn buitgemaakt en waarmee door 'hackers' geprobeerd word op Ring accounts in te loggen. Dat had net zo goed elke andere dienst kunnen zijn, en dat zullen ze ook zeker gedaan hebben,
Mensen die wachtwoorden hergebruiken voor verschillende diensten zul je altijd blijven houden, en die kunnen beter wegblijven van dit soort producten.
Mijn Ring deurbel heeft mij tijdens een vakantie enorm geholpen, kon tuig voor de deur detecteren (stalken van dochterlief) en van op afstand videos aan politie overdragen.
Tuurlijk dat kan met een LAN only camerasysteem ook, maar alleen als je VPN hebt, en een NAS voor opslag etc.. en over de lekken via openbaar gedeelde shares via uPNP van sommige NAS merken hebben we het maar niet.
En ja mijn 2FA staat aan op Ring.

[Reactie gewijzigd door RDNZL op 20 december 2019 16:44]

Ik krijg er zojuist ook al een mail over van Ring zelf. Super slordig .... maar snel 2FA aanzetten dan.
Ik hoop dat je bedoeld slordig van jezelf? Er is geen hack geweest, het is waarschijnlijker dat jij dezelfde username en password hebt gebruikt en dat die combinatie in een andere back naar boven is gekomen.
Ring heeft een mail gestuurd met uitleg naar alle klanten. Heb er ook een gehad, en mijn wachtwoord is 100% zeker geen hergebruik ;)
Een password manager installeren! En dan 2FA. Maar zorg in ieder geval dat je niks hergebruikt.
Je eigen onkunde projecteren op een ander bedrijf.

Je gebruikt een wachtwoord bij Ring die bij een andere dienst is buitgemaakt. Kortom je hergebruikt teveel wachtwoorden, dan ben je zelf dus erg slordig.
Oef... wat een snel geoordeeld weer. Vermoedelijk heeft het meerendeel van jullie geen Ring en de zeer pro actieve en duidelijke mail vanuit hen niet gezien?

Ring heeft hier super gehandeld. Er IS geen data van hen gelekt, echter, zoals hierboven door iemand anders al aangeven is een reeds bestaande database met gelekte gebruikersnamen en wachtwoorden gebruikt om brute-force toegang te krijgen tot het Ring cloud platform.

Als je zelf zo dom bent om overal hetzelfde WW te gebruiken dan vraag je om problemen. Ring heeft al sinds enige tijd MFA maar veel klanten gebruiken dit niet.

Kortom... misleidende titel en een sterk WW beleid begint bij jezelf. En PW manager kan helpen maar ook daar hebben we al het nodige mee mogen ervaren..
Dit jaar nog heeft Ring de data unencrypted verstuurd tussen cloud en gebruiker, wat aan het licht is gekomen door een onderzoeker. Technisch gezien was er wel een data lek.
Je zou iets tegen brute force kunnen doen? Zeg na 5x verkeerde login blokkeren of zo? Of is dat de simpel gedacht. Je weet nou eenmaal dat veel mensen overal dezelfde wachtwoorden gebruiken. Dat leren we ze niet af.
Als ze een lijst met gebruikte username/password checken, helpt blokkeren na 5 keer niet, ze testen elke account maar 1 keer, tenzij ze meerdere lijsten samenvoegen en die user er meerdere keren in staat.
Blokkeren op ip gaat ook niet echt lukken, proxy servers zijn makkelijk genoeg te vinden om een hele hoop wachtwoorden te testen, laat staan als je ze 5 keer kan gebruiken.
Helemaal met je eens, sensationele titel weer.

Ik verwacht beter van iemand met de titel "Redacteur privacy & security". Iedereen met een beetje kennis in dit gebied weet dat het hergebruik van wachtwoorden een groot probleem is, en ook iets is waar elk ander platform last van heeft.
Vertelde mijn lieftallige vrouw vorige week zondag nog: Zo'n ding komt er hier niet in.

:P
Hier ook niet net als slimme speakers. Zoiets is gewoon vragen om problemen.

Hier nog een mooi voorbeeld: https://mobile.twitter.co...tatus/1204505193003573250
Dit soort apparaten zijn 'slim' dat betekent slim voor de leverancier zodat zij makkelijker jouw data kunnen vergaren.
Niet genruiken dus, en als je het echt nodig hebt (je verhuurt je huis bijv.) neem er dan een daar de gegevens alleen lokaal opgeslagen worden en niet op een centrale server van de leverancier of bijv. Google en alleen toegang vanaf lokaal netwerk en met een VPN op je router (of een IP filter) kan alleen jijzelf er van buiten af in en is dat niet vanaf het openbare internet bereikbaar.
Probleem blijft dat de oplossing die je schetst door de gemiddelde eigenaar van zo’n slim apparaat niet te doen is...
holy s**t batman.

Dat is eng spul zeg, gelukkig is de kerstman daar om te zorgen dat het kind niks overkomt :P
Je had beter kunnen zeggen: "Zo'n Ring komt hier niet in", ik hoorde dat Ubiquiti met mooi spul aan kwam! Wellicht interessant!
Heeft iedereen hier aandelen in ubiquiti? Echt iedereen loopt hier over die deurbel te orakelen terwijl hij is nog niet te koop, getest, en er is geen prijs bekend.

Enthousiast uiteraard maar reacties zoals deze worden nu wel heel erg pusherig.
snap ook niet dat mensen het nemen. Kudde gedrag en zogenaamd veiligheid.
Tijd dat Ubiquity met zijn deurbel uit komt. Niets in de cloud op slaan maar op in je eigen netwerk.
Je mag best wat meer wantrouwen hebben in een fabrikant hoor, hoe goed hun producten ook zijn.

Als jarenlange Ubiquity gebruiker (en reseller) weet ik dat ze al een hele tijd gebruikers aan het pushen zijn om naar hun cloud diensten over te stappen. Zeker bij de Unifi camera lijn (waarin hun nieuwe deurbel gaat gelanceerd worden binnenkort) is dit het geval, waar je al heel wat stappen moet ondernemen om niets in de cloud te hebben.
Welke Unifi camera's bedoel je precies?

Bij de camera's die hier staan: https://www.ui.com/products/#default wordt de "Cloud Key Gen2 Plus" gepromoot. Dit is echter lokale *cloud* hardware van Ubiquiti met daarin een 1TB harde schijf waarin alles wordt opgeslagen. Ze zeggen er ook expliciet bij "Complete privacy. Keep video fully privacy on your local disk only".
Nou, wat op zich wel een nadeel is met UniFi Protect is dat als je via de app beelden wilt zien, dat je eerst moet connected met de UniFi cloud die als een soort broker een P2P-verbinding laat opzetten tussen je device en de Cloud Key. Zelfs als je op hetzelfde fysieke netwerk zit. Is de cloud down, kun je je beelden niet zien. (Is al eens voorgevallen onlangs.)

De beelden staan dus lokaal en blijven lokaal, maar tóch heb je hun cloud-dienst nodig.
Als reseller zou ik toch verwachten dat je Ubiquiti (geen y) juist schrijft, maar dat terzijde..
Er zit bakken met geld op de "diensten" die achter die prullaria hangen.
Als je dat on-premise wil ga je 6x meer betalen voor de eigenlijke hardware en je verkoopt eigenlijk alleen aan de technisch onderlegde mensen die geen zin of tijd hebben zelf wat te maken.
Dus je publiek zijn dan zeg maar even de "zelfhosters" die nog niet zelf aan de gang zijn gegaan met bijvoorbeeld een Raspberry.
Zal wel veel minder brood in zitten.
Je hebt duidelijk nog geen Ubiquity producten geïnstalleerd. Het is kinderlijk eenvoudig met veel opties voor powerusers. Het maakt dat zelfs gewone gebruikers niet meer afhankelijk hoeven te zijn van die datalek-gevoelige diensten.
Je hebt duidelijk nog geen Ubiquity producten geïnstalleerd.
Zeker wel iets vergelijkbaars (TP-Link Omada, ook kinderspel), maar dat is ook voorbij het punt.
Ga jij maar eens iemand overtuigen die verder geen wifi klachten of uberhaupt verdere techniek affiniteit heeft dat ze honderden euro's uit moeten gaan geven aan zo'n ubiquity setup, en daarna moet je het dan nog over de noodzaak van zo'n video deurbel hebben.

[Reactie gewijzigd door Koffiebarbaar op 20 december 2019 16:01]

We zullen eerst moeten gaan zien hoe die ubiquity bel geprijst wordt. Ik durf de discussie wel aan te gaan namelijk. Je hoeft geen honderden euros uit te geven voor een goed werkende setup, en je hoeft ook niet uitsluitend UBNT hardware te hebben. Het enige dat je nodig hebt is een controller (welke onder windows kan draaien en niet constant aan hoeft te staan) en een werkend WiFi signaal. Ik vermoed ook dat er PoE ondersteuning op zit, dan hoef je niet eens een WiFi netwerk te hebben. Hun PoE switches zijn ook zeer scherp geprijsd, en ze leveren ook scherp geprijsde PoE injectoren, voor het geval dat je volgende argument is :)
Bij mijn ouders in 10 min een ubiquity AP geinstalleerd, NOOIT een klacht meer gehad, daarvoor was het elke maand raak. Dat AP kostte 60 euro. Exact hetzelfe verhaal over vrienden van mij. Er zijn genoeg youtube video's daarover, toen mijn vrienden meekeken zijden ze dat het er redelijk simpel uitzag.
De cloud key kan ook maar een 20-tal apparaten aan. Daarna gaat deze idd de mist in. Dat kan je hier vinden. Je kan de controller beter installeren in docker of op een raspberry pi, dan gebruik te maken van de cloud key.
Meer info: https://help.ubnt.com/hc/...s-Device-Management-Limit
Als je al van Ubiquity protect gebruik maakt is dit een no brainer natuurlijk.
Als van ubiquity gebruik maakt EN brood ziet in zo'n deurbel wellicht zeerzeker.
Maar het aantal mensen dat überhaupt weggaat van de rommel die hun provider ze stuurt is al redelijk laag, en zelfs als ze dat wel doen heb je legio goedkopere producten die ook hun "wifi probleem" oplossen.
Ubnt gaat ook meer richting de cloud en met hun opt-in dataverzamel actie van laatst zou ik ook bij hun niet blind vertrouwen op de producten.
Ring is al een tijdje negatief in het nieuws. Dit nieuws verbaasd mij niets, een paar jaar geleden hadden ze ook last van een beveiligingslek wat ze moesten patchen. Er is ook afgelopen week bewezen dat je een Ring doorbell niet voor veiligheid hoeft te hebben omdat het hooguit schijnveiligheid oplevert volgens onderzoek.

@skdevil - Ik zeg toch ook niet dat ze zelf gehackt zijn? Ik zeg dat ze een paar jaar terug ook een beveiligingslek hadden. Nergens claim ik dat hun database gehackt is.

[Reactie gewijzigd door Auredium op 20 december 2019 16:21]

Wellicht even het bericht lezen alvorens te reageren?

De data zouden bij elkaar verzameld zijn uit databases van andere gehackte websites, al zegt Ring niet precies om welke databases het daarbij zou gaan. Met de data kan een aanvaller live meekijken met de camera's die in de bellen zitten. Ring raadt gebruikers aan hun wachtwoord te wijzigen en tweestapsverificatie in te stellen.

Kortom, eigen schuld dikke bult. Moet je maar niet overal hetzelfde wachtwoord gebruiken.
Sorry maar dit gaat voor mij niet op. De reden: ik gebruik een uniek e-mailadres en een uniek wachtwoord wat nooit en te nimmer gebruikt wordt op andere sites of platformen.

Voor mij voelt het als een doofpot en groter onderliggende problemen bij ring. Ook gezien de reactie van de klantenservice over deze kwestie. (Zie mijn reactie verder in het artikel). Ik heb het idee dat ze simpelweg niet weten waar het probleem ligt.
Dat hele Ring komt er bij mij niet in, en elk nieuw artikel over hun deurbellen maakt dat idee sterker bij mij.
gelukkig is het niet de schuld van ring
Tenzij Ring bruteforce aanvallen toe liet vanuit slechts enkele IP-adressen. Een bedrijf van dergelijke omvang hoort daar rekening mee te houden.
er staat toch duidelijk dat niet ring zelf maar andere sites gehackt zijn waar mogelijk mensen dezelfde inloggegevens gebruikte als op hun ring? of mis ik iets
Wat je zegt klopt. Maar de hackers deden een brute force aanval op Ring, met als doel accounts te kraken op basis van reeds gehackte accounts van andere bronnen. Onduidelijk is hoe Ring hierop reageerde. Het kan zijn dat ze de bruteforce aanvallen klakkeloos toelieten, waardoor dat relatief grote aantal accounts gehackt is.

The Verge heeft dan ook meer kritiek op Ring "Why Ring can’t just blame users for those home-invading camera ‘hacks’": https://www.theverge.com/...curity-privacy-access-2fa
En nu ben ik benieuwd of het beeldmateriaal nog rechtsgeldig is uit de slimme deurbellen als de politie ze komt ophalen.

Is een leuke keerzijde van het outsourcen van camera's door de politie.

[Reactie gewijzigd door World Citizen op 20 december 2019 15:19]

Niet zo relevant. Dat is alleen als je beelden zou kunnen injecteren.
Volgende issue dat gecheked moet worden.

Je hebt nu hoogstens een groter dan verwacht publiek. (en mogelijk geen controle meer over de eigen Deurbel).
Vergis je niet. Dit haakt een beetje in op het verhaal van @Tijs Hofmans zijn onderzoek bij de deurbel camera's die in Nederland door de politie worden gebruikt, en dit vraagstuk is juist heel erg belangrijk.

Stel nou dat iemand geweldadig is tegen een ander persoon en vlucht.
Op een deurbel camera word het incident geregistreerd, en zie je welke kant hij op vlucht.

Vervolgens heb je hem elders weer opgepikt met een officiële politie/gemeente camera, en middels die officiële camera kom je tot een staandehouding.

Hoe zit dat dan in de rechtszaak? Stel dat deze deurbel gehacked is... mag je dan die aanwijzing en het incident wat die de deurbel zag nog gebruiken in een rechtszaak? Wat moet een burger allemaal doen om een betrouwbaar rechtsgeldig beeld aan te leveren?

Want stel dat onverhoopt de deurbel niet gebruikt mag worden... vervalt je hele zaak. Waar die niet zou vervallen als je per toeval de crimineel had opgepakt met de officiële camera, en middels identificatie van het slachtoffer had kunnen staande houden.

De deurbel kan dus juist ervoor zorgen dat de bewijslast moeilijker word. Dus het toevoegen van die deurbel als bewijsmateriaal is nog niet zo simpel.

Je zult maar een bende hebben die daar op in gaat spelen....

Op dit item kan niet meer gereageerd worden.


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True