黑客闯入成千上万的安全摄像头,揭露特斯拉,监狱,医院

2021-03-11 01:09:19

一群黑客表示,他们违反了由Silicon Valley Startup Verkada Inc.收集的大规模的安全摄像机数据,获得了在医院,公司,警察部门,监狱和学校内部的150,000个监视摄像机的实时饲料。

镜头曝光的公司包括Carmaker Tesla Inc.和软件提供商CloudFlare Inc.此外,黑客能够从妇女的健康诊所,精神医院和Verkada本身的办事处查看视频。一些相机,包括医院,使用面部识别技术来识别和分类镜头上捕获的人们。黑客表示,他们还可以访问所有Verkada客户的完整视频档案。

在佛罗里达医院内部的Verkada相机中,佛罗里达州哈利法克斯健康的Verkada相机展示了八个医院员工解决一个男人,将他钉在床上。哈利法克斯健康在Verkada的题目题为题为:“佛罗里达医疗保健提供者如何轻松更新并部署可扩展的HIPAA兼容安全系统。”哈利法克斯发言人周三确认它使用Verkada相机,但补充说,“我们认为情况的范围有限。”

另一个视频,在上海的特斯拉仓库内拍摄,展示了装配线上的工人。黑客表示,他们在特斯拉工厂和仓库中获得了222个摄像机的访问。

数据泄露是由国际黑客集体进行的,旨在展示视频监控的普遍性,并使系统可以闯入的视频监控和系统的易燃员,其中一位声称违反加利福尼亚州的圣马特诺的信贷Verkada。使用他们/他们的代词的Kottmann,以前声称信用夏克芯片制造商Intel公司和卡曼制造商日产Motor Co.Kotmann表示他们的黑客攻击原因是“很多好奇心,为信息自由和对抗知识产权而奋斗,巨大的剂量反资本主义,一丝无政府主义 - 而且它也是太多的乐趣而不是这样做。“

“我们已禁用所有内部管理员帐户以防止任何未经授权的访问权限,”Verkada Spokesperson在一份声明中表示。 “我们的内部安全团队和外部安全公司正在调查本问题的规模和范围,我们已通知执法。”

一个知识知识的人称,Verkada的首席信息安全官员,内部团队和外部安全公司正在调查该事件。本公司正致力于向客户通知客户,并在讨论讨论正在进行的调查的人士表示,该人士向客户建立支持线。

“今天下午我们被警告说,旧金山的CloudFlare在一份声明中表示,监测大量CloudFlare办公室的主要入境点和主要通道的Verkada安全摄像头系统可能被妥协。 “相机位于少数办事处,已在几个月内正式关闭。”该公司表示,它禁用了相机并从Office Networks断开了它们。

Tesla表示,“基于我们目前的理解,被黑客入侵的相机仅安装在我们的一个供应商中,我们的上海工厂或任何特斯拉商店或服务中心都没有使用该产品。我们从上海工厂和提到的其他地方收集的数据存储在本地服务器上。“

在本故事中确定的其他公司并没有立即回复评论要求。本文中指定的监狱,医院和学校的代表无论是拒绝发表评论,还是没有立即回复评论请求。

由彭博地区看到的视频显示威斯康星州Stoughton的警察局的官员,询问手铐的男人。 SGT。 Andrew Johnson是Stoughton的官员,确认了彭博会的消息,即该部门使用Verkada相机。黑客表示,他们还获得了康涅狄格州纽敦的沙质钩小学的安全相机,枪手于2012年杀死了20多人。

在阿拉巴马州的亨茨维尔麦迪逊县监狱内部也可供黑客提供330名安全摄像头。 verkada博客文章说,verkada提供了一个名为“people分析”的功能,即根据许多不同的属性,包括性别特征,衣物颜色,甚至是一个人的脸,“。 Bloomberg看到的图像显示监狱内的相机,其中一些内部隐藏在通风口内,恒温器和除颤器,轨道囚犯和使用面部识别技术的惩教人员。黑客表示,他们能够在一些案例中访问直播和存档的视频,包括警察和犯罪嫌疑人之间的访谈,所有人都在称为4K的高清分辨率。

Kottmann表示,他们的团队能够在相机上获得“根”访问,这意味着他们可以使用相机执行自己的代码。在某些情况下,访问可以允许他们枢转并获得对Verkada客户的更广泛的企业网络,或者劫持相机并使用它们作为推出未来黑客的平台。 Kottmann说,获得对相机的这种访问程度不需要任何额外的黑客攻击,因为它是一个内置功能。

黑客的方法取消了:他们通过“超级管理员”账户获得了对Verkada的访问,使他们能够与其所有客户的相机同行。 Kottmann表示,他们找到了在互联网上公开公开的管理员帐户的用户名和密码。 Kottmann说,在Bloomberg联系Verkada后,黑客失去了对视频饲料和档案的访问。

黑客说他们能够同行进入豪华健身链股份的多个地方。在德克萨斯州德克萨斯州德克萨斯州的一家医院的瓦德利区域医疗中心,黑客表示他们通过韦尔卡达相机观察了九个ICU床。黑客还说他们在亚利桑那州坦佩圣卢克医院观看了相机,也能够看到谁使用Verkada访问控制卡来打开某些门的详细记录,而且当他们这样做时。 Wadley的代表拒绝发表评论。

黑客“揭露我们的遭受程度越广泛,并且至少在曾经保护的平台上投入到往往的平台上的小程度,除了利润中,追求的速度是多么的追求,”Kottmann说。 “这只是狂野,我如何看待我们一直知道的事情正在发生,但我们从未见过。” Kottman表示,他们在周一早上获得了Verkada的系统。

Verkada于2016年成立,销售客户可以通过网络访问和管理的安全摄像头。 2020年1月,它筹集了8000万美元的风险投资资金,估值公司为16亿美元。在投资者中是SemoIa Capital,硅谷最古老的公司之一。

Kottmann称之为黑客集体“高级持久威胁69420”,一个轻松的指定网络安全公司向州赞助的黑客团体和刑事讯王。

2020年10月,Verkada在报告浮出水面后,员工们使用其相机拍摄了Verkada办公室内的女同事,并对他们进行了性明确的笑话。 Verkada Ceo Filip Kaliszan在一份声明中表示,该公司“终止了煽动这一事件的三名个人,从事针对同事的恶意行为,或者忽视报告该行为尽管有义务作为经理。”

Kottmann表示,他们能够下载成千上万的Verkada客户以及公司资产负债的全部名单,列出资产和负债。作为一个密切的公司,Verkada并未发布其财务报表。 Kottman说,黑客通过verkada雇员的相机观看,他们在家里拿到了一个verkada员工。来自相机的一个已保存的剪辑显​​示员工与家人完成拼图。

“如果您是一家已购买此类摄像机网络的公司,并且您将它们放在敏感的地方,您可能没有期望除了由您的安全团队观看的相机公司还有一些管理员,他也是看着,“电子前沿基金会的网络安全总监Eva Galperin表示,彭博的违约者简要介绍。

在亚利桑那州的格雷厄姆县拘留设施内,有17个摄像机,视频由中心的员工提供标题,并保存到Verkada帐户。一个视频,拍摄于“公共区域”,标题为“Roundhouse踢掉Oopsie”。在“后电池块”内部归档的视频被称为“卖家嗅/亲吻Willard ???”另一个视频,拍摄在“醉酒坦克外部”内部标题为“秋天碰撞自己的头”。从“背部牢房”拍摄的两个视频题为“盯着 - 不要眨眼!”和“兰开斯特失去了毯子。”

黑客还获得了旧金山,奥斯汀,伦敦和纽约的CloudFlare办事处的Verkada摄像机。根据Bloomberg看到的图像,Cloudflare总部的摄像机依赖面部识别。 “虽然面部认可是一个测试版,但Verkada为其客户提供,我们从未积极使用它,也没有计划,”CloudFlare在其声明中表示。

Eff的Galperin表示,安全摄像机和面部识别技术通常用于保护专有信息和保护专有信息和防范内部威胁。

“在公司内部有许多合法的理由,”加勒林补充道。 “最重要的部分是让员工的知情同意。通常这是在员工手册内完成的,没有人读。“