美国一企业15万台安防摄像头视频泄露!其员工曾偷拍女下属
美国初创公司Verkada“摊上事儿”了。据媒体报道,Verkada旗下的15万台摄像头被黑客入侵。这些摄像头的安装所在包罗学校、医院、牢狱、警员局、特斯拉超等工厂等各种场合,其中甚至另有Verkada自家的办公室。Verkada是美国的一家视频安防公司,创建于2016年,主打产物是基于联网摄像头的安防管理方案。其摄像头还支持人脸识别功能,而且能够根据性别、衣服颜色等属性筛选目标人物。2020年1月,Verkada的估值曾到达16亿美元。
https://p1.itc.cn/q_70/images03/20210310/304c0c6124dd4c97b25e1094aa5b766e.png
系统功能展示。图自Verkada官网。
据媒体报道,黑客组织入侵了Verkada的15万个摄像头,拿到了约莫5G的数据。值得注意的是,黑客们使用的攻击方法一点儿也不高大上:他们在网上找到了别人公开的Verkada系统用户名和密码,用这些信息获取了系统的“超等管理员”访问权限。
“超等管理员”权限可以访问摄像头拍摄的视频(包罗实时视频与存档视频),其中一些摄像头能拍摄高清视频且具有人脸识别功能。同时,“超等管理员”能得到摄像头的root权限,这意味着黑客可以用摄像头来执行自己的代码,从而得到客户网络的更多访问权限,大概挟制摄像头作为网络攻击工具。
别的,黑客组织还声称可以访问Verkada数千名客户的完整列表及客户的财政信息。
根据黑客组织提供给媒体的一份电子表格,Verkada的客户至少有2.4万个。流出的摄像头视频也显示了这家公司的服务范围之广:遍布美国和加拿大的大学、中小学、酒吧、教堂、博物馆、购物中心、牢狱、警员局、机场、私人住宅,等等。
位于亚拉巴马州亨茨维尔市的麦迪逊县牢狱使用了330个有人脸识别功能的摄像头,其中不少摄像头被安装在通风口、空调之类的隐蔽位置,用来追踪犯人的运动。马萨诸塞州斯托顿一个警员局的摄像头下,则有一名戴着手铐的男子受到警员的讯问。
https://p6.itc.cn/q_70/images03/20210310/ee34112ca66c4ba4b9f36730c9635a58.jpeg
麦迪逊县牢狱的摄像头画面。图自彭博社。
泄露视频也涉及一些知名企业,好比特斯拉、集成化云服务商Cloudfare以及高端健身俱乐部连锁公司Equinox。部门视频可以看到特斯拉上海堆栈和正在工作的工人。黑客组织声称,已入侵特斯拉的222个摄像头。有关Cloudfare的视频则显示,其使用安防摄像头覆盖了旧金山、奥斯丁、伦敦和纽约的办公室,旧金山总部的摄像头启用了人脸识别功能。
https://p6.itc.cn/q_70/images03/20210310/605ac14f325e46538da1778a73500429.png
特斯拉工厂的摄像头画面。图自彭博社。
“我们的内部安全团队和外部的安全公司正在观察潜在问题的规模和范围。”Verkada在给媒体的回应中说,目前公司已禁用所有内部管理员账户,已阻拦未经授权的访问。
Cloudfare则回应称,他们的安全摄像头主要摆设在公司的入口和主要通道,目前摄像头均已关闭并断网。旧金山办公室摄像头的人脸识别功能是Verkada提供的测试功能,公司“从未积极地使用这一功能,也不计划这么做”。
“这次攻击袒露了我们受到监督的范围。”黑客组织成员蒂利·科特曼(Tillie Kottmann)体现,这次攻击旨在表明Verkada的摄像头有多么普及,摄像头的安全性在黑客面前又是多么不堪一击。
去年10月,Verkada还曾曝出销售总监骚扰女员工的丑闻。涉事销售总监使用公司内安装的人脸识别摄像头偷拍女员工照片,之后又把加上了污言秽语的照片公布在公司内网。此事经媒体报道后,Verkada才开除了销售总监及相关员工。
“也许你的公司购买了安防摄像头,把它放在一些敏感的地方。但是你大概不会想到,这些摄像头拍摄的内容不但是你的安全团队能瞥见,供应商的一些管理者也能瞥见。”电子前言基金会网络安全总监伊娃·加珀林(Eva Galperin)说。
加珀林体现,安防摄像头和人脸识别通常被应用在公司的办公室和工厂,以防范潜在风险。在公司内部安装监控有许多正当来由,但最重要的是得到员工的知情同意。公司通常会把相关说明写在员工手册里,但大概没有人会去认真读员工手册。
综合:南都记者 冯群星
来源:https://www.sohu.com/a/455079772_161795
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
页:
[1]