【危機展現】Verkada 15 萬個網內監控鏡頭遭入侵 人臉辨識功能恐招人身安全問題
一個黑客組織入侵了安全防護系統初創公司 Verkada 的大約 15 萬個聯網內的監控鏡頭,使他們能夠取得多個組織的實時和存檔影片信號,包括生產設施、醫院、學校、警察部門和監獄,更包括 Tesla。據報道指,黑客主義者 Tillie Kottmann 宣稱是事件負責人之一,向 Bloomberg 披露這次資料入侵行動是一間國際黑客團體所為,目的是為了展示無處不在的視訊監控,以及攻入這些系統輕而易舉。此說法引起爭議,專家正權衡如果安全錄像洩露落入不法分子手中,受害組織可能遭遇的潛在後果。
影片資料洩露可能會導致知識產權盜竊、人身安全威脅、侵犯隱私、敲詐勒索,或許還會受到監管部門的懲罰。更糟糕的是,這些攝像頭採用了面部識別技術,導致了以下問題:攻擊者是否可以真正識別被攝像頭捕捉到的個人,然後將他們作為社交工程(social engineering schemes)或更恐怖計劃的目標。
Bloomberg 查看被盜的 Verkada 影片,包括據指是上海 Tesla 倉庫的裝配線上的工人圖像。不過,Tesla 後來告訴路透社,這段影片實際上是來自供應商在河南省的生產基地,其上海工廠及展示廳未受影響。不過,Kottmann 表示,他們仍能獲取安裝在 Tesla 工廠和倉庫中的 222 個攝錄影像。根據報道,網絡性能公司 Cloudflare 和身份權限管理服務提供商 Okta,被指也在工作場所使用 Verkada 的服務。
這次事件讓人擔憂是否有類似的黑客攻擊,通過監視開發生產活動,以進行工業間諜活動,或可能透過監視工人、管理層和現場安保人員的行蹤,以便在日後進行現場入侵。
Bloomberg 所見的其中一段被洩露的影像中,佛羅里達州哈利法克斯衛生醫院內的 Verkada 攝像頭顯示,似乎有八名醫院工作人員,正將一名男子固定在床上,另一段影片中,看到馬薩諸塞州的警察正查問一名被銬住的男子。據報道,Kottmann 甚至還在 Twitter 上發布了一些影片,後來 Twitter 刪除了黑客的賬號和他們的違規貼文。
這樣的情節讓人聯想到重大的私隱問題,因為這些敏感鏡頭或被用作敲詐。電子隱私信息中心 (EPIC) 的高級顧問 John Davisson 指,這種規模的黑客危害私隱問題並未誇大,因為對任何被拍到的人來說,這都是深深的侵犯。
根據 WhiteHat Security 公司戰略副總裁 Setu Kulkarni 的說法,查看這些影片,黑客可以開始按個人行為偏好,擬訂釣魚活動,有了這些數據及其分析,黑客不僅可透過網絡犯罪,還可以作搶劫或綁架等行為。
EPIC 的 Davisson 認為,防止此類事件發生的最佳保護措施是完全不使用物聯網監控攝像頭。當然,對於一些機構來說,這並不實際。在這些情況下,Davisson 建議盡量減少數據收集,避免使用面部識別,並形容「這是存在嚴重缺陷和充滿問題的技術」,並指這些相關數據「只能在絕對必要的情況下才可保留」。
Verkada 證實,入侵者在 3 月 7 日至 9 日通過 「Jenkins 伺服器獲得了非法訪問權限」,以便對客戶的鏡頭作批量維護操作,例如根據客戶要求調整攝像頭圖像設置。通過這個伺服器,入侵者獲得允許繞過授權系統的憑證。知情人士稱,Verkada 的首席資訊保安官、內部團隊和外部安防公司正在調查此次事件。因討論正在進行的調查,該人士要求匿名。知情人士表示,Verkada 正在通知客戶並開通支援熱線解決問題。
資料來源:http://bit.ly/3bIzA1U、http://bit.ly/30KTvHk