новембар 22, 2024

Beogradska Nedelja

Најновије вести из Србије на енглеском, најновије вести о Косову на енглеском, вести о српској економији, српске пословне вести, вести о српској политици, балканске регионалне вести у …

Вајз је знао да хакери могу даљински приступити вашој камери три године и ништа нису рекли

Вајз је знао да хакери могу даљински приступити вашој камери три године и ништа нису рекли

Управо сам бацио своје Визе кућне сигурносне камере у смеће. Завршио сам са овом компанијом.

Управо сам то научио Током протекле три годинеВизе је био свестан рањивости у својим кућним сигурносним камерама која би могла дозволити хакерима да погледају ваш дом на мрежи – али је одлучио да га гурне под тепих. А компанија за обезбеђење која је открила рањивост им је то дозволила.

Уместо да га петљамо, уместо да га памтимо, уместо само, знаш, реци нешто Тако да могу престати да усмеравам ове камере у своју децу, Визе је једноставно одлучио да укине ВизеЦам в1.0 У јануару ове године без пуног образложења. Али у уторак, компанија за истраживање безбедности Битдефендер расветли најзад О томе зашто је Визе престао да га продаје: Зато што свако може да приступи СД картици ваше камере на мрежи, украде кључ за шифровање и почне да гледа и преузима свој видео феед.

Не постоји место где би Визе рекао овако нешто клијентима попут мене. Не када сам искључио камеру, ни у три године откако је Битдефендер скренуо пажњу Визе-а на њу у марту 2019., а вероватно никада није: портпарол Визеа Кајл Кристенсен рекао ми је да је у погледу компаније већ био транспарентан са својим купаца и „потпуно је решио проблем“. Али Визе га је закрпио само за новије верзије ВизеЦам-а, а до тада је завршио само закрпе за верзије 2 и 3 29. јануара 2022. према ПЦ.

Што се тиче транспарентности, највише што сам видео за Визе клијенте је да „ваше даље коришћење ВизеЦам-а након 1. фебруара 2022. носи повећане ризике и да га Визе може обесхрабрити, и да је то у потпуности на сопствени ризик“. Такође понекад својим клијентима шаље опскурне мејлове попут ове, што сам ценио, али сада се питам ретроактивно:

READ  Тесла губи 126 милијарди долара у вредности због забринутости око финансирања посла Маска на Твитеру

Од 6. јануара имејл „Услови коришћења услуге и безбедносна ажурирања“
Снимак екрана Шон Холистер / Тхе Верге

Када сам прочитао ове речи о „повећаном ризику“ у за нас Ивица Пошта Што се тиче застаревања ВизеЦам в1, сећам се да сам мислио да је управо поменуто будућност Безбедносне исправке – Није велика рањивост која заиста постоји.


Ево још једног питања, међутим: зашто, забога, Битдефендер није ово открио пуне три године, када би то приморало Виз-а на руку?

Према безбедносној истраживачкој фирми Временски оквир откривања (ПДФ)Стигли сте у Визе у марту 2019. и нисте чак ни добили досије Одговор До новембра 2020, годину и осам месеци касније. Међутим, Битдефендер је одлучио да ћути до јуче.

У случају да се питате, не, то није нормално у безбедносној заједници. Док ми стручњаци кажу да је концепт „распореда одговорног обелодањивања“ помало застарео и у великој мери зависи од ситуације, ми генерално меримо данаА не године. „Већина истраживача има политику према којој, ако уложе труд у доброј намери да дођу до продавца и не добију одговор, они то јавно објављују у року од 30 дана“, на Фејсбуку, Алекс Стамос, директор Стенфордске интернет опсерваторије и бивши шеф обезбеђења полицајац, рекао је Фејсбуку.

„Чак и америчка влада јесте 45-дневни подразумевани рок за обелодањивање Кејти Мусорис, оснивач и извршни директор компаније Лута Сецурити и коаутор међународних ИСО стандарда за откривање рањивости и санацију рањивости, написала је.

Питао сам Битдефендер о овоме, и ПР менаџер Стив Фиоре је имао објашњење, али мени није успело. А ево га у целости:

Наши налази су били веома озбиљни, а наша одлука, без обзира на нашу уобичајену политику продужења од 90 дана са грејс периодом, била је да би објављивање овог извештаја без Визе-овог признања и ублажавања последица разоткрило милионе потенцијалних клијената са непознатим импликацијама. Поготово што продавац није имао познат (нам) безбедносни оквир/процес. Визе је заправо имплементирао један прошле године као резултат наших резултата (хттпс://ввв.визе.цом/пагес/сецурити-репорт).

Из истог разлога раније смо одлагали објављивање извештаја (иБаби Монитор М6С камере) на дуже периоде. Утицај објављивања резултата, заједно са нашим недостатком информација о способности продавца да се носи са последицама, налагао је да смо морали да сачекамо.

Разумемо да ово није нужно уобичајена пракса код других истраживача, али би објављивање резултата пре него што продавац понуди исправке довело многе људе у опасност. Дакле, када нам се Визе на крају обратио и пружио нам поуздане информације о својој способности да реши пријављене проблеме, одлучили смо да им дамо времена и да нам дамо проширења.

Чекање понекад има смисла. Оба стручњака са којима сам разговарао, Мосорис и Стамос, одрасли су независно Злогласне рањивости рачунара Мелтдовн-а Као пример равнотеже између безбедности и откривања – због тога колико је људи погођено, колико су дубоки рачунари и колико их је тешко поправити.

Али потрошачка паметна кућна камера од 20 долара која стоји на мојој полици? Ако би Битдефендер објавио саопштење за јавност пре две године да Визе има неисправљени дефект, било би врло лако престати да користиш ту камеру, не купити ниједну, и уместо тога изабрати другу. „Постоји једноставна стратегија ублажавања за погођене купце“, каже Стамос.

Пример иБаби Монитор-а који је дао Битдефендер је такође смешан – јер ту је, Битдефендер заправо Ацт Присилите компанију да ради. када Битдефендер и ПЦМаг су откривени Да компанија за праћење беба није поправила сигурносну рупу, резултирајући лош публицитет их је подстакао да то поправе Само три дана касније.

дана, а не година.

Не шалим се.
Фотографија Шон Холистер/Тхе Верге

Сада ако ме извините, морам да идем да се поздравим Визе слушалице које волим, јер озбиљно намеравам да завршим свој Визе посао. Спремни сте за отпис Катастрофално цурење корпоративних података о 2,4 милиона клијената Као грешка, али изгледа да компанија овде није урадила ништа лоше. Ако су ови недостаци довољно лоши да угасе камеру 2022. године, купци заслужују да знају о томе 2019. године.