1 月底,PWN 君曾许愿“智能摄像头安全与隐私”这个话题少上热搜。才过一个月,希望就破灭了……
“宇宙第一大厂”特斯拉这两天又上了几个热搜,除了车主坐车顶维权,还卷入了监控摄像头被入侵、工厂视频曝光的危机之中。
工厂、医院、监狱、学校全中招
3 月 10 号,彭博社报道称有多名黑客入侵了硅谷安防系统初创公司 Verkada的数据库,获得15万个摄像头的访问权限,包含特斯拉上海超级工厂和仓库中的222个摄像头。
10 号下午,特斯拉紧急回应,被入侵的摄像头并非来自上海超级工厂,而是河南省一处特斯拉供应商的生产现场,目前已停止摄像头联网。不过,根据被公布的视频来看,不管是哪里的工厂,本属于工厂内的一切都清清楚楚地暴露出来。
当然,在这起事件中,特斯拉不是唯一受害者。和它一样的,还有诊所、精神病院、公司、警察局、监狱、学校、健身房等多个不同类型的组织机构。
简单的入侵手段
“闹着玩”的警示
Verkada 成立于 2016 年,主业是销售安全联网摄像头。除了监控功能,Verkada 摄像头还能利用先进的AI视觉技术,分辨出视频中的人脸和车辆,并对其进行检测和人脸识别。在安防摄像头领域,很多产品跟 Verkada 摄像头有着相同或相似的功能。
基于安防摄像头的这些功能,很多企业组织都会在办公室、工厂内部安装,或者在办公楼周边等公共环境安装,用于保护企业信息、防范威胁。但这恰恰也是风险所在。
自称为入侵者之一的蒂莉·科特曼(Tillie Kottmann)说,他们不仅能看到现场直播,还能获取 Verkada 所有客户存档的视频录像,并下载所有客户名单、资产负债表等敏感信息。他们之所以入侵这些摄像头,主要是为了“好玩”;主动曝光,也是为了向人们展示无处不在的监控以及毫不安全的安防摄像头。
根据 Verkada 的调查,攻击者在 2021 年 3 月 7 日获得了摄像头的访问权限。入侵的步骤看起来很常规:获取服务器的访问权限,获取凭证,绕过授权系统(绕过双因子身份验证),最终访问摄像头、获取客户名单,甚至可以在部分客户摄像头上执行Shell脚本命令。
而在入侵者的自述中,实现攻击更是简单:他们只是在网上发现了一个公开(泄露)的超级管理员账户与密码,然后就可以访问 Verkada 内部网络了。在彭博社的跟踪调查中,一名不愿透露身份的 Verkada 员工表示,公司内部很多人都能随意使用超级管理员账号,其中一名 20 岁的实习生有数十万台摄像头的访问权限,能查看全球范围内摄像头的视频。此外,虽然使用超级管理员账户需要多因素验证,但很多用户可以轻易关闭验证,这也增加了被入侵的风险。
这个故事,怎么听怎么熟悉。过往的案例告诉我们,很多设备或平台(路由器、打印机、服务器等)被入侵,都是因为管理员账号密码泄露或权限滥用。这一次,依旧不例外。
怎么办?
在媒体公开报道之后,Verkada 禁用了所有内部管理员账户,切断了访问通道。3 月 11 日,Verkada 发布声明确认遭遇入侵且表示已经聘请 FireEye 旗下信息安全公司 Mandiant Solutions 和律师事务所 Perkins Coie 来协助调查,同时也联系了 FBI 进行后续的处理工作。
摄像头遭遇入侵或者泄露用户隐私的事件,几乎天天都在发生,区别只是规模与影响范围。年初,刚曝光一起摄像头厂商 ADT 员工利用内部偷窥用户的事件,最终员工受罚入狱,ADT则要赔偿用户、修复漏洞、升级产品。
很多时候,类似的事件都以厂商受罚、整改作结。教训尚在,却永远都有企业重蹈覆辙。有的是新入局还不没有足够的安全意识,有的则是因为一心向“qian”看,而忽视了对网络安全的投入。归根结底,都是用户在承担风险。
对于个人用户来说,在家用摄像头的选择和使用过程中,尚且有一定的自主权。而路口、学校、公司等公共场合使用的摄像头,直接采集、使用公众的步态、人脸等数据,一旦因为安全等级低而泄露,对于个人隐私甚至国家层面的安全威胁更大。在这方面,相关标准和法律法规的建立与健全,更是刻不容缓。
关于智能摄像头常见安全风险及安全使用指南,点击下图即可回顾。
让自动驾驶撞墙,刷别人的脸取钱:在极棒的赛场,AI 再一次变成了智障
打乱更新计划,影响数万用户,惊动国家安全委员会,挑起外交纷争?微软新漏洞不简单
本文始发于微信公众号(GeekPwn):十五万摄像头被黑,特斯拉工厂视频曝光,“闹着玩”的警示?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论