信息化觀察網(wǎng)

來自彭博社消息，硅谷資助的安全攝像頭初創(chuàng)公司Verkada遭受了數(shù)據(jù)泄露，據(jù)報(bào)道，黑客能夠從公司，監(jiān)獄，警察局和學(xué)校訪問15萬個(gè)實(shí)時(shí)攝像頭。

Verkada安全攝像頭

數(shù)據(jù)泄露是由“國(guó)際黑客團(tuán)體”領(lǐng)導(dǎo)的，目的是展示入侵系統(tǒng)的難易程度，該團(tuán)體的發(fā)言人Tillie Kottmann稱。

Kottmann過去與以前的黑客活動(dòng)有關(guān)，其中包括8月份發(fā)布了從英特爾公司竊取的數(shù)據(jù)。科特曼說，其被黑客入侵的原因是“出于好奇，為信息自由和知識(shí)產(chǎn)權(quán)而戰(zhàn)，大量的反資本主義，無政府主義的暗示，而且這樣做也太有趣了。”

Kottmann聲稱這種黑客行為相對(duì)簡(jiǎn)單。黑客團(tuán)體使用在互聯(lián)網(wǎng)上公開找到的用戶名和密碼，對(duì)Verkada的系統(tǒng)獲得了“超級(jí)管理員”級(jí)別。獲得訪問權(quán)限后，他們便可以訪問整個(gè)公司的網(wǎng)絡(luò)，包括對(duì)攝像機(jī)（包括某些客戶的攝像機(jī)）的root訪問權(quán)限。

Verkada成立于2016年，由包括紅杉資本（Sequoia Capital）在內(nèi)的風(fēng)險(xiǎn)投資公司提供資金，其客戶包括特斯拉（Tesla Inc.）和Cloudflare Inc.（這兩家公司的安全攝像頭都遭到了破壞）。其他受到威脅的安全攝像頭包括那些屬于Equinox健身房，佛羅里達(dá)州哈利法克斯健康，馬薩諸塞州斯托頓的警察局，阿拉巴馬州漢茨維爾的麥迪遜縣監(jiān)獄，亞利桑那州的格雷厄姆縣拘留中心以及桑迪胡克小學(xué)的所在地。2012年的大規(guī)模射擊。

Verkada的代表在一份聲明中說：“我們已禁用所有內(nèi)部管理員帳戶，以防止任何未經(jīng)授權(quán)的訪問”，并且“我們的內(nèi)部安全團(tuán)隊(duì)和外部安全公司正在調(diào)查此潛在問題的規(guī)模和范圍。”

數(shù)字風(fēng)險(xiǎn)保護(hù)軟件公司Digital Shadows Ltd.的首席信息安全官Rick Holland表示：“Verkada定位為本地網(wǎng)絡(luò)錄像機(jī)的'更安全，可擴(kuò)展'的替代方案。”“Verkada入侵是將服務(wù)外包給云提供商的風(fēng)險(xiǎn)的一個(gè)例子。當(dāng)您將安全性外包給第三方時(shí)，您并不一定總能獲得更大的安全性。”

霍蘭德補(bǔ)充說，視頻泄漏很可能導(dǎo)致衛(wèi)生和公共服務(wù)部對(duì)違反法規(guī)的情況進(jìn)行調(diào)查，因?yàn)楸O(jiān)視錄像可以被視為受保護(hù)的健康信息。他說：“GDPR違反個(gè)人數(shù)據(jù)的行為也可能發(fā)生，集體訴訟也可能出現(xiàn)。”

移動(dòng)安全解決方案提供商Lookout Inc.安全解決方案高級(jí)經(jīng)理Hank Schless表示，很可能是通過網(wǎng)絡(luò)釣魚攻擊獲得了訪問權(quán)限，而網(wǎng)絡(luò)釣魚攻擊通過社交工程更具說服力。

Schless解釋說：“有針對(duì)性的網(wǎng)絡(luò)釣魚攻擊被稱為魚叉式網(wǎng)絡(luò)釣魚攻擊。”“惡意行為者通常會(huì)在社交媒體資料等地方使用公開可用的信息來針對(duì)個(gè)人建立令人信服的運(yùn)動(dòng)。”