Bài học rút ra chính
- Vào thứ Hai, ngày 17 tháng 5 lúc 4:50 sáng EDT, một lỗi đã làm lộ nguồn cấp dữ liệu camera an ninh của Eufy.
- Nhà thông minh và các tiện ích Internet of Things không ưu tiên bảo mật.
- Pháp luật có thể buộc các nhà cung cấp phải coi trọng vấn đề bảo mật của người dùng.
Chủ sở hữu của các camera an ninh thông minh Eufy tỉnh dậy với một cơn ác mộng kiểu Hollywood vào đầu tuần này khi một vụ vi phạm làm lộ camera trong nhà của họ cho bất kỳ ai trên internet. Làm cách nào để chúng ta được bảo vệ tốt hơn?
Bản cập nhật phần mềm đã gây ra lỗi và nó đã được khắc phục sau một giờ. Nhưng trong thời gian đó, một số ít người dùng Eufy nhận thấy họ có quyền truy cập vào nguồn cấp dữ liệu camera trực tiếp của người dùng khác cũng như video đã quay. Vi phạm cũng cấp toàn quyền truy cập tài khoản, có nghĩa là bất kỳ ai cũng có thể quay và nghiêng máy ảnh của người lạ để nhìn rõ xung quanh nhà của họ. Điều này làm nổi bật những vấn đề cố hữu trong tất cả các thiết bị nhà thông minh.
"Khi chúng tôi đưa nhiều công nghệ hơn vào gia đình, bọn tội phạm mạng sẽ ngày càng chú ý đến những hệ thống mới này", Ben Dynkin, đồng sáng lập và CEO của Atlas Cybersecurity, nói với Lifewire qua email. "Sự giám sát gia tăng này của bọn tội phạm chắc chắn sẽ dẫn đến số lượng các cuộc tấn công ngày càng tăng và không có luật hoặc quy định nào có thể ngăn chặn nó. Để giải quyết vấn đề đó, chúng ta phải tìm ra những cách mới và sáng tạo để vừa bảo mật hệ thống vừa ngăn chặn hoạt động tội phạm."
Không an toàn bởi thiết kế
Trong một tuyên bố do nhà sản xuất Eufy Anker cung cấp cho Lifewire, một bản cập nhật phần mềm đã gây ra lỗi, ảnh hưởng đến 712 người dùng và đã được khắc phục trong vòng chưa đầy hai giờ.
Tuy nhiên, các vấn đề cơ bản vẫn còn. Các thiết bị Internet-of-Things, vì các thiết bị nhà thông minh này được phân loại, không được thiết kế để an toàn.
"Hiện tại, các thiết bị IoT thường không được chú trọng bảo mật", Dan Tyrrell của công ty kiểm tra thâm nhập Cob alt.io nói với Lifewire qua email. Vấn đề là các nhà thiết kế và nhà cung cấp quan tâm đến các tính năng hơn là bảo mật.
"Thị trường IoT liên tục đổi mới với các công ty mới và được thành lập đưa các sản phẩm và giải pháp ra thị trường với tốc độ chóng mặt", Dynkin nói. "Điều này có nghĩa là để các công ty thành công trong lĩnh vực này, họ phải đổi mới nhanh chóng và cố gắng vượt lên đối thủ cạnh tranh của mình, điều này có nghĩa là tất yếu, bảo mật sẽ được coi là yếu tố phụ chứ không phải là nguyên lý cốt lõi của sản phẩm. Điều này dẫn đến các lỗ hổng phổ biến có thể bị khai thác."
Điều thú vị là những người chỉ kết nối máy ảnh Eufy của họ bằng Video bảo mật HomeKit của Apple không bị ảnh hưởng bởi vi phạm này, điều này cho thấy rằng có thể áp dụng phương pháp bảo mật ưu tiên hàng đầu.
Quy
Những vi phạm này sẽ không dừng lại cho đến khi bảo mật ít nhất trở nên quan trọng như các tính năng và điều đó sẽ không xảy ra cho đến khi ai đó buộc các nhà cung cấp nhà thông minh thực hiện nghiêm túc. Một câu trả lời là quy định của chính phủ, giống như quy định của chúng tôi để giữ an toàn cho thực phẩm của chúng tôi và chuyển vùng điện thoại di động của EU với giá rẻ. Quy định sẽ áp dụng các tiêu chuẩn tối thiểu đối với các nhà cung cấp và trừng phạt họ nếu vi phạm.
"Quy định không nhất thiết phải là viên đạn bạc trong việc đảm bảo các thiết bị IoT được an toàn", Tyrrell nói. "Thay vào đó, chúng ta nên xem quy định như một bước đi đúng hướng. Tôi xin cảnh báo rằng tuân thủ tiêu chuẩn quy định không giống như an toàn, nhưng tốt hơn là không có gì."
Để giải quyết vấn đề đó, chúng ta phải tìm ra những cách mới và sáng tạo để vừa bảo mật hệ thống vừa ngăn chặn hoạt động tội phạm.
Những người khác hoàn toàn phản đối quy định. Paul Engel, người sáng lập Nghiên cứu Hiến pháp, tóm tắt lại quan điểm này.
"Điều cuối cùng chúng tôi cần là sự can thiệp của chính phủ nhiều hơn", Engel nói với Lifewire qua email. "Một số vụ kiện tốn kém và các khoản chi trả bảo hiểm sẽ làm được nhiều việc hơn để thúc đẩy các công ty này bảo mật tốt hơn bất kỳ luật nào có thể."
Cuối cùng, hầu hết các biện pháp bảo vệ người tiêu dùng đến từ quy định của chính phủ. Và theo xu hướng lịch sử, có thể Liên minh Châu Âu sẽ đi trước về vấn đề này, nhưng Hoa Kỳ đã có một số luật để xây dựng.
"Chúng tôi có thể mở rộng các tiêu chuẩn được đưa ra trong Đạo luật Cải thiện An ninh mạng Internet vạn vật năm 2020 - hiện chỉ bao gồm các thiết bị được mua bởi các cơ quan chính phủ cho đến các sản phẩm tiêu dùng và kinh doanh", Paul Bischoff, người ủng hộ quyền riêng tư tại Comparitech, nói với Lifewire qua email. "Điều đó bao gồm cập nhật phần mềm và chương trình cơ sở từ xa và tự động, quản lý danh tính và mã hóa."
Nếu không có bảo mật tốt hơn, mọi thứ sẽ trở nên tồi tệ hơn.
Bảo vệ bản thân
Cách dễ nhất để tránh vi phạm IoT là không cài đặt bất kỳ thiết bị nhà thông minh nào. Nhưng nếu bạn nhất thiết phải có chuông cửa thông minh hoặc camera an ninh, bạn có thể thực hiện các biện pháp phòng ngừa. Trước tiên, hãy xem xét các thiết bị không sử dụng Internet.
"Bạn có thể chọn một camera an ninh lưu trữ video trên thiết bị cục bộ thay vì máy chủ đám mây", Bischoff nói. "[Và] bạn có thể định tuyến các thiết bị IoT thông qua một VPN được cài đặt trên bộ định tuyến Wi-Fi của bạn, bộ định tuyến này ẩn địa chỉ IP thực và vị trí của bạn, đồng thời mã hóa dữ liệu khi chuyển tiếp."
Khi chúng tôi đưa nhiều công nghệ hơn vào gia đình, bọn tội phạm mạng sẽ ngày càng chú ý đến những hệ thống mới này.
Cuối cùng, điều quan trọng nhất là hãy nhớ rằng việc bảo mật thiết bị của bạn là trách nhiệm của bạn.
"Người tiêu dùng nên thực hành vệ sinh mạng tốt với các thiết bị IoT của họ", Tyrrell nói. "Nếu có thể, hãy thay đổi tên người dùng và mật khẩu mặc định. Chỉ kết nối các thiết bị cần thiết với internet. Hiểu rằng nhiệm vụ của bạn là chủ sở hữu thiết bị là cập nhật các bản vá lỗi và làm như vậy thường xuyên. Cuối cùng, hãy duy trì một mạng cục bộ riêng biệt trong nhà của bạn cho tất cả các thiết bị IoT để giảm tác động của việc vi phạm một trong những thiết bị đó."
