突发：Verkada安全摄像头失陷，特斯拉Cloudflare等2万多客户受影响

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

一伙黑客表示攻陷了硅谷创业公司 Verkada 收集的大量安全摄像头数据，获得在医院、企业、警察局、监狱和学校安装的15万个监控摄像头的访问权限。

影响范围广泛

镜头数据遭暴露的企业包括汽车厂商特斯拉和软件提供商 Cloudflare。此外，黑客还能够查看女性健康诊所、精神疾患医疗院所和 Verkada 公司办公室本身等的视频。其中某些摄像头（包括医院安装的摄像头）使用面部识别技术来识别并将镜头捕捉到的人员分类。黑客表示还能够访问 Verkada 所有客户的完整视频文档资料。

从彭博社看到的一个视频来看，安装在美国佛罗里达州医院 Halifax Health 的一台 Verkada 摄像头显示，八名医院工作人员将一名病患固定在病床上。Halifax Health 是 Verkada 在网站上公开提到的客户案例，题目为“佛罗里达州医疗提供商如何轻松更新并部署可扩展的HIPAA 安全合规系统”。

另外一则视频则是在特斯拉货仓内拍摄，显示的是工人在流水线上工作的画面。黑客表示已经获得对特斯拉工厂和货仓安装的222个摄像头的访问权限。

监控普遍存在，系统易受攻击

这起数据泄露事件是由某国际黑客组织执行的，该黑客组织的一名成员 Tillie Kottmann 指出，这样做的目的是说明视频监控的普遍性以及说明哪些系统可被轻松获取。Kottmann 此前声称攻陷了英特尔公司以及日产汽车公司。他指出他们 hacking，“很多时候是出于好奇心，为信息和知识产权自由而战，大多数时候为了反资本主义，还有一点无政府主义诉求，而不这样做就会失去很多乐趣”。

Verkada 公司一名发言人发布声明称，“我们已经禁用了所有的内部管理员账户，以阻止任何未授权访问权限。我们的内部安全团队和外部安全公司正在调查这起事件的规模和影响范围，并且已经通知执法机构。”

一名熟悉该事件且要求匿名的人员表示，Verkada 公司的首席信息安全执行官、一个内部团队和一家外部安全公司正在调查该事件。该公司正在通知客户并设立支持专线来解决相关问题。

特斯拉、Cloudflare 和其它公司的代表并未立即做出回应。受影响的监狱、医院和院校要么拒绝评论，要么并未立即做出回应。

彭博社看到的一则视频显示，在位于马萨诸塞州斯托顿的警察局内，警官正在审讯戴手铐的嫌疑人。黑客表示还能够访问位于康涅狄格州纽敦的桑迪胡克小学（Sandy Hook Elementary School），一名枪手曾在2012年杀害20多人。

黑客还能访问位于美国阿拉巴马州麦迪逊县监狱的330个安全摄像头。Verkada 公司在博客文章中指出，该公司提供了一个名为“人员分析 (People Analytics)”的功能，可使客户”基于多种不同属性如性别、衣服颜色甚至是面部进行搜索和过滤“。从彭博社查看的图片来看，监狱内的摄像头（某些隐藏在通风口、恒温器和除颤器内）会使用面部识别技术追踪并关联囚犯和教养人员。黑客指出他们能够访问直播内容和文档视频，在某些情况下还可访问音频、警察和犯罪嫌疑人之间的采访视频，所有的这些内容均以4K的高清分辨率显示。

Kottmann 指出，他们能够获得对摄像头的“root”访问权限，也就是说可以使用这些摄像头执行自己的代码。在某些情况下，这种访问权限可使他们跳转并访问 Verkada 客户更大的企业网络，或者劫持摄像头并用作发布专题 hack 活动的平台。Kottmann 表示，获得这种程度的访问权限无需其它 hacking，因为它是一种内置功能。

并不高明的入侵方法

实际上，黑客使用的方法并不高深复杂：他们通过“超级管理员”账户获得对 Verkada 的访问权限，从而窥探该公司所有客户的摄像头。Kottmann 指出，他们从互联网上找到了被暴露的一个用户名和密码。他指出，彭博社联系 Verkada 公司后，黑客失去了对视频直播和文档的访问权限。

黑客表示他们能够窥探豪华健身连锁店 Equinox 的多个门店。在德克萨斯州特克萨卡那的一家瓦德利地区医疗中心，黑客表示查看了对准九张 ICU 病床的 Verkada 摄像头。黑客还表示查看了位于亚利桑那州坦佩圣卢克医院的摄像头，可以看到关于谁使用 Verkada 门禁卡开门的详细记录。瓦德利拒绝置评。

Kottmann 说道，这起事件“暴露了我们被监控的范围有多广，以及相关平台的安全性有多薄弱，他们唯利是图。我可以看到我们已经知道正在发生的事情但却从未能看到的事情，真是荒诞。“Kottmann 表示，他们在当地时间周一早上获得对 Verkada 系统的访问权限。

自称 “APT 69420”

Verkada 公司成立于2016年，主营安全摄像头业务，可使客户通过 web 进行访问和管理。2020年1约，该公司在风投融资阶段获得8000万美元的融资，使其估值达到16亿美元。其投资机构包括硅谷最悠久的红杉资本。

Kottmann 将该黑客组织称为“Advanced Persistent Threat 69420”，呼应网络安全公司对国家黑客组织和网络犯罪组织的称呼。

2020年10月，新闻媒体爆料Verkada 公司员工使用摄像头拍摄 Verkada 办公室女性员工并开色情玩笑，该公司因此解雇了三名员工。Verkada 公司的首席执行官 Filip Kaliszan 当时发布声明称，“与引发这起事件的三名员工终止合同，他们对同事做出恶劣行为或者作为管理人员并未举报这种行为”。

Kottmann指出，他们能下载Verkada 公司数千名客户的整个清单以及该公司的资产负债表。Verkada 并未上市因此并不公开财务报表。Kottman 指出，他们还观看了该公司一名员工在自己家安装的摄像头。其中一个保存的资料显示，这名员工和家人正在猜字谜。另据 Vice 报道称，黑客提供了客户名单。从名单上看共有2.4万多个唯一的组织机构名称。不过从名单本身无法确定其中哪些机构使用了面部识别功能。

电子前线基金会网络安全总监 Eva Galperin 指出，“如果你是一家购买了该网络摄像头的公司，并且将其安装在敏感区域，那么你可能并未想到除了安全团队在盯着你外，摄像头公司的某个管理员也在盯着你。“

在美国亚利桑那州的格雷厄姆县拘留所内安装有17台摄像头，录像带由该中心的工作人员给出并保存到 Verkada 的一个账户内。其中一则视频拍摄于“公共区域“，标题为”回旋踢，糟糕“。”后方监狱区“文件夹内的视频”卖家嗅探/亲吻威拉德？？？“。另外一则视频是在”醉汉监禁室外景“拍摄，标题为”秋天碰了自己的头“。而拍摄于”后方监狱“的视频标题则为“盯着——别眨眼！”以及“兰开斯特丢掉了毯子”。

黑客还能访问位于旧金山、奥斯汀、伦敦和纽约的 Cloudflare 办公室的摄像头。彭博社从所看到的图像可知，Cloudflare 总部安装的摄像头使用了识别技术。Glperin 指出，G安全摄像头和面部识别技术常用于企业办公室和工厂内部，用于保护专利信息和预防内鬼威胁。他表示，“在公司内安装监控摄像头的合法原因很多。最为重要的是获得员工的知情同意。通常它会写在没人看的员工手册里。“

Cloudflare 公司回应称，已经禁用 Verkada 摄像头并表示从未使用过面部识别功能，但本文表示自己从图像中亲眼看到面部识别技术的使用。

推荐阅读

谷歌三星安卓摄像头应用含高危漏洞变身监控器，影响数亿设备（PoC）

Guardzilla 家庭摄像头录像可遭任何人访问

NVR 监控系统中出现严重的 RCE Peekaboo bug，100多个摄像头品牌受影响（PoC 已出）

参考链接

https://www.bloomberg.com/news/articles/2021-03-09/hackers-expose-tesla-jails-in-breach-of-150-000-security-cams?sref=ylv224K8

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~