一群黑客攻击了15万个摄像头。
受害者包括特斯拉,世界各地的医院、学校、警察局,还有提供这些摄像头的公司自己。
被曝光的画面中包括特斯拉在上海的仓库,黑客团体声称,他们掌握了222个来自特斯拉各地工厂和仓库的摄像头访问权限。
黑客从这些摄像头中还看到了:
8名医院工作人员将一名患者固定在病床上;
警察正在审问带着手铐的犯人;
监狱的摄像头隐藏在通风口和恒温器中;
……
这些摄像头都由硅谷初创公司Verkada提供,该公司于2020年1月获得8000万美元投资,估值达16亿美元。
而据彭博社最新的爆料,甚至Verkada的员工,就直接掌握着窥视用户的管理员密码。
黑入方法令人喷饭
黑入如此规模的监控网络需要什么样的技术?
真相让人哭笑不得。
据国际黑客组织APT-69420声称,他们只是找到了Verkada服务器上公开存储的用户名和密码。
Verkada把密码写在了持续集成工具Jenkins所用插件的Python脚本里。
登入维护用的Web应用后就有了超级管理员权限,不需要任何进阶的黑客知识。
只需要鼠标点击就可以访问任何一个客户的摄像头,甚至可以在摄像头上执行自己的代码。
除了实时监控画面,黑客还可以获取全部视频存档,其中部分含有音频,全都是4k高清分辨率。
黑客还找到了Verkada的全球客户资料和财务报表。以及声称通过维护用的后门侵入了CloudFlare和特斯拉公司的内部网络。
Verkada公司负责人称已采取措施禁用了所有内部管理员账户,以防止任何未经授权的访问。公司内部的安全团队和外部安全公司正在调查此次事件的规模和范围。
之后黑客已失去所有访问权限。
其他受到影响的公司和组织均拒绝发表评论。
Verkada的摄像头产品与他们的云服务是强制绑定的。客户如果切断摄像头与服务器的网络连接就无法继续使用。
而且许多企业客户提前交了多年的服务费,根据合同Verkada不会提供退款。
公司内部乱象频出
Verkada的超级管理员权限平时用于调试产品以及解决客户的售后问题。
当一名员工申请访问客户的摄像头时,需要提交这样做的理由,并被系统记录到日志里。
但这些日志根本没人查看,黑客在两天时间进行了各种操作都没有被发现。
Verkada为客户提供了一种 “隐私模式”,可以拒绝自己的摄像头被工作人员查看。但超级管理员权限可以直接关闭该功能。
据黑客披露,系统内部还有许多员工的账户拥有查看所有客户的任何一个摄像头的权限。
Verkada前员工也证实了这个说法,有超过100名员工拥有这样的权限,甚至包括实习生。
讽刺的是,该公司还曾抨击过其竞争对手ONVIF的安全协议“是业界最危险的”。
除安全协议不完善以外,该公司的管理也出现问题。
19年发生过销售总监用办公室摄像头的面部识别技术偷拍女员工照片,发到公司Slack频道上并进行性骚扰的行为。
之后Verkada对涉事员工的处罚只是让他们选择被开除或是减少期权。3人均选择留在公司并减持期权。
我们真的需要云监控吗?
Verkada公司将所有监控数据储存在云上。除了基础的监控外,Verkada还提供人员搜索服务。
可以根据性别、衣服颜色等特征以及面部识别来过滤摄像头中出现的人。
这给云监控系统赋予了强大、易用的功能,一旦被侵入也能造成更多的危害。
本次事件的黑客给出的建议是:
我不喜欢任何形式的监控,但如果你非要安装监控的话,请不要使用那些风投资助的创业公司的集中式云平台,这些公司的销售比客户还多,除了利润之外什么都不关心。
事实上这并非云监控系统第一次出现问题。
2017年的360水滴摄像头就因擅自将公共场所监控拍到的视频在旗下平台进行直播的问题引起争议,最终直播平台关闭。
去年1月,小米摄像头也因隐私泄露问题导致小米的所有智能家居产品被谷歌封禁。
微观来说,摄像头是否应该接入云?
宏观来说,便利、安全重要还是隐私重要?
都是我们这个时代需要解决的问题。
黑客是何方神圣?
Tillie Kottmann,一名瑞士开发者,是这次事件的主要负责人,自称为女性。
她曾在去年8月入侵过英特尔并泄露20GB的机密文件。
更早的时候她还通过安全性不高的DevOps应用从微软、任天堂、迪士尼、摩托罗拉等其他公司的网络中提取出了大量源代码和机密资料。
其中任天堂的源代码和开发库泄密因规模庞大被称为任天堂GigaLeak事件。
目前Kottmann用于发布泄露信息的Twitter账号已被封禁。
根据最新消息,瑞士当局突击搜查了Kottmann的住处并没收了她的设备。
根据彭博社的说法,这次搜查与Verkada事件无关,而是因为Kottmann“涉嫌参与去年发生的黑客攻击”。
Kottmann父母的家也被瑞士警方搜查,她在网上表示:“不要和我谈论任何非法活动或犯罪。我近期不打算再做任何非法的事情。”
“