Se stai cercando l'istanza Mastodon di inSicurezzaDigitale puoi cliccare questa barra (mastodon.insicurezzadigitale.com)

Quando il sistema di sicurezza trasforma la nostra casa in un data breach. Il caso Brinks

Il canadese Andrew Kopp di Edmonton ha scoperto un bug di sicurezza in Brinks Home Security per le case private che consentiva l’accesso alle informazioni personali di altri clienti. Scoperta che, vediamo come, gli si è quasi potuta ritorcere contro.

Tutto è successo dopo aver installato l’ecosistema Brinks a casa sua.

All’inizio del 2022, mentre cercava di risolvere un problema con alcuni sensori delle porte, è stato in grado di accedere al suo account online Brinks Home Security, dove ha acquisito informazioni su più di un centinaio di altri clienti.

Le informazioni che Kopp è stato in grado di visualizzare su altri clienti includevano: nomi, indirizzi, contatti di emergenza, numeri di cellulare, cronologia dei pagamenti e dettagli dei prodotti Brinks Home Security delle altre loro case.

Il canadese è rimasto scioccato e ha immediatamente segnalato il problema al produttore, ritenendo che il bug sarebbe dovuto esser risolto rapidamente.

Tuttavia, come riportato da CBC, il problema ha continuato a persistere senza correzioni dall’aprile 2022.

Dopo di che Kopp ha nuovamente informato Brinks del problema, e ancora una volta nel luglio 2022, ma non ha nemmeno ricevuto una chiamata di conferma dal servizio clienti.

Solo contattando i media, il canadese è riuscito a convincere Brinks ad riconoscere l’errore.

Il produttore ha affermato che meno dello 0,01% della base clienti totale di Brinks Home è stata in grado di visualizzare le informazioni di contatto di un piccolo sottoinsieme di altri clienti.

Brinks ha anche osservato che la natura dei dati visibili non richiede la notifica al cliente e la società ha attribuito tutta la colpa del ritardo nella conferma dell’errore, al dipendente negligente.

Allo stesso tempo, Kopp era l’unico cliente, oltre l’azienda, che aveva accesso alle informazioni di altri clienti.

Con questo approccio, in generale addirittura, potrebbero essere ritenuti responsabili per l’accesso illegale.