信息化觀察網(wǎng)

本文來自微信公眾號(hào)“ 安全內(nèi)參”。

安全內(nèi)參9月3日消息，美國(guó)加州安防公司Verkada已同意支付295萬(wàn)美元(約合人民幣2099萬(wàn)元)的民事罰款，并將實(shí)施一項(xiàng)全面的安全計(jì)劃。此前2021年，黑客從該公司15萬(wàn)臺(tái)聯(lián)網(wǎng)的安全攝像頭中竊取了視頻，其中一些攝像頭安裝在精神病醫(yī)院和婦女健康診所。

美國(guó)聯(lián)邦貿(mào)易委員會(huì)(FTC)對(duì)Verkada提起的訴訟指出，該公司未能采取適當(dāng)?shù)男畔踩胧?，以保護(hù)通過其安全攝像頭收集的客戶和消費(fèi)者的個(gè)人信息。

除了數(shù)百萬(wàn)美元的財(cái)務(wù)罰款外，Verkada和FTC達(dá)成的同意令還要求公司實(shí)施全面的安全計(jì)劃，并在未來20年內(nèi)每年向FTC提交風(fēng)險(xiǎn)評(píng)估報(bào)告。這項(xiàng)同意令尚需聯(lián)邦法官批準(zhǔn)。

同意令還解決了Verkada涉嫌違反聯(lián)邦反垃圾郵件法規(guī)的指控。該公司通過大量商業(yè)電子郵件向潛在客戶發(fā)送廣告，但未提供退訂或退出選項(xiàng)。FTC表示，公司未能尊重客戶的退訂請(qǐng)求，也未在郵件中提供實(shí)體郵寄地址。

安全措施存漏洞

致使客戶攝像頭被黑客訪問

Verkada的主要產(chǎn)品是支持IP網(wǎng)絡(luò)的安全攝像頭，這些攝像頭通過亞馬遜云服務(wù)(AWS)的云端存儲(chǔ)客戶數(shù)據(jù)并保存視頻檔案。FTC指出，從2019年至2021年，該公司共銷售了超過24萬(wàn)臺(tái)安全攝像頭。

據(jù)稱，Verkada的安全措施存在漏洞，未能要求使用唯一且復(fù)雜的密碼，未能充分加密客戶數(shù)據(jù)，且未能實(shí)施安全的網(wǎng)絡(luò)控制。因此，在2020年12月至2021年3月期間，Verkada至少發(fā)生了兩次安全入侵事件。

2021年3月，一名黑客從超過15萬(wàn)臺(tái)聯(lián)網(wǎng)的Verkada攝像頭中獲取了視頻錄像及其他客戶信息，如物理地址、音頻記錄和客戶的Wi-Fi憑據(jù)。

FTC表示：“入侵者訪問了超過15萬(wàn)臺(tái)實(shí)時(shí)監(jiān)控的客戶攝像頭，觀看了精神病醫(yī)院的病人(包括躺在病床上的病人)、婦女健康診所、在房間內(nèi)玩耍的小孩和被監(jiān)禁者在牢房?jī)?nèi)的畫面等。”

FTC還指出，2020年12月，一名黑客利用了舊版固件構(gòu)建服務(wù)器中的安全漏洞，而這一漏洞的出現(xiàn)是因?yàn)橐幻麊T工未能恢復(fù)服務(wù)器的原始安全設(shè)置所致。“黑客在服務(wù)器上安裝了Mirai僵尸網(wǎng)絡(luò)軟件，并進(jìn)行惡意活動(dòng)，包括將服務(wù)器武器化，對(duì)其他第三方互聯(lián)網(wǎng)地址發(fā)起拒絕服務(wù)攻擊。Verkada在AWS安全部門標(biāo)記出這些活動(dòng)兩周多后，才意識(shí)到服務(wù)器已被入侵。”

FTC表示安防攝像頭收集的數(shù)據(jù)

存在用戶敏感信息

Verkada在8月30日發(fā)表的聲明中表示，公司不同意FTC的指控，但接受了和解條款，“以便我們能夠繼續(xù)推進(jìn)使命，并專注于保護(hù)人們和場(chǎng)所的隱私。”

聲明中還寫道：“我們將繼續(xù)優(yōu)先加強(qiáng)Verkada的數(shù)據(jù)安全態(tài)勢(shì)。”

FTC在訴狀中表示，Verkada收集并維護(hù)了各種客戶信息，包括姓名、物理地址、客戶用戶名和密碼哈希值、客戶站點(diǎn)平面圖以及客戶的Wi-Fi憑據(jù)。

FTC還指出，Verkada安全攝像頭收集的視頻錄像“可能包括消費(fèi)者影像，以及其他敏感的消費(fèi)者個(gè)人信息，例如可見的醫(yī)療記錄。”

FTC表示：“許多此類消費(fèi)者的影像本質(zhì)上具有敏感性，因?yàn)橐粋€(gè)人在特定地點(diǎn)的出現(xiàn)必然會(huì)揭示其個(gè)人信息。例如，某個(gè)消費(fèi)者出現(xiàn)在精神病醫(yī)院的畫面直接說明該消費(fèi)者正在尋求心理健康服務(wù)。”

除了實(shí)時(shí)監(jiān)控功能外，Verkada的安全攝像頭還具備“人物分析”功能，允許客戶查看所有被其安全攝像頭錄制或上傳到公司Command平臺(tái)的消費(fèi)者高清圖像。用戶可以通過性別或衣服顏色篩選圖像，并通過面部識(shí)別或臉部匹配技術(shù)搜索圖像。

FTC以5比0的投票結(jié)果支持了前述同意令。