Zdroj: Vice/MOTHERBOARD
Výrobca a dodávateľ bezpečnostných kamier Ring patrí od roku 2018 firme Amazon a v poslednej dobe sa dostal pod drobnohľad médií. Najprv sa rozoberal prístup k videám zákazníkov zamestnancami z výskumného centra firmy Ring na Ukrajine. Neskôr sa opisovali nadštandardné vzťahy firmy s oddeleniami polície v USA.
V ostatnom incident podcaste č.55 sme spomínali, že firma bola kritizovaná za nedostatočné bezpečnostné opatrenia svojho produktu a aplikácie. Útočníci zneužívali, že zákazníci používajú všade rovnaké heslá a pripájali sa na kamery, sledovali zákazníkov a rozprávali cez reproduktor na kamere, aby ich vystrašili.
Po všetkých týchto odhaleniach si skupina amerických senátorov vyžiadala v novembri 2019 informácie of firmy Ring. Redakcii Motherboard sa podarilo dostať k odpovedi firmy Ring. Z nej vyplýva, že v minulosti musela firma vyhodiť zamestnancov, ktorí zneužívali svoje práva na prístup k videám zákazníkov.
Často sa vo firmách zabúda na insider threat alebo vnútornú hrozbu, ktorá prichádza od vlastných zamestnancov. Zvlášť citlivé je to u technologických firiem a sociálnych sietí. V prípade firmy Ring sú kamery často umiestnené v interiéroch dokonca v izbách detí.
Podľa vyjadrenia v liste z 6.1.2020 firma zaznamenala 4 prípady zneužívania. Išlo o osoby, ktoré síce mali oprávnený prístup, ale zneužili ho. Zamestnanci, ktorí zneužili svoje oprávnenia, boli prepustení. Firma sa rozhodla limitovať prístup k videám zákazníkov a tvrdí, že absolútny prístup majú 3 zamestnanci.
Mali by ste si vo svojich firmách skontrolovať ktorí zamestnanci majú privilegované prístupy a kam. Väčšina zariadení a softvérov ponúka tzv. audit log, ktorý zaznamenáva nielen kto a kedy sa prihlásil, ale aj kam pristupoval. Admini systému by nemali mať prístup k audit logom, aby ich bolo možné kontrolovať či nezneužívajú svoje privilegované postavenie. Existujú aj riešenia na audit prístupov.
Obrázok: Amazon
