摄像头
黑客团体科特曼(Kottmann)3月9日说,他们入侵了硅谷初创公司韦尔卡达(Verkada Inc.)收集的大量安全摄像机数据,可以访问美国医院、公司、警察局、监狱和学校中的15万个监视摄像机的实时录像。
摄像机数据曝光的公司包括汽车制造商特斯拉(Tesla)公司和软件提供商Cloudflare Inc.。此外,黑客还能够获取女性健康诊所、精神病医院和韦尔卡达办公室的摄像头信息。某些摄像头(包括医院中的摄像头)使用面部识别技术来识别和分类在镜头上看到的人的身份。黑客说,他们还可以访问所有韦尔卡达客户的完整视频档案。
彭博社指出,在一个被曝光视频中,佛罗里达州哈利法克斯健康医院(Halifax Health)内的韦尔卡达摄像头显示,似乎有八名医院工作人员在绑住一名男子并将其固定在床上。
另一个在上海特斯拉仓库内的监控视频显示了装配线上的工人的工作流程。黑客表示,他们可以访问特斯拉工厂和仓库中的222台摄像机。
同一黑客组织此前入侵了芯片制造商英特尔公司和汽车制造商日产汽车公司。
韦尔卡达代表在一份声明中说:“我们已禁用所有内部管理员帐户,以防止任何未经授权的访问。”“我们的内部安全团队和外部安全公司正在调查此潜在问题的规模和范围。”
知情人士说,韦尔卡达的首席信息安全官、内部团队和外部安全公司正在调查此事件。该人士要求匿名讨论正在进行的调查,该公司方面表示,目前正在努力通知客户并建立支持热线以解决问题。
特斯拉和其他受影响公司的代表没有立即回应置评请求。视频遭泄露的监狱、医院和学校的代表拒绝发表评论,或者没有立即回应发表评论的请求。
彭博社看到的一段泄露视频显示,马萨诸塞州斯托顿的一个警察局中的警察在问一个戴着手铐的男子。黑客还发布了康涅狄格州新镇桑迪胡克小学的安全摄像机视频,2012年,一名枪手在该地杀死了20多人。
黑客还可以使用位于阿拉巴马州亨茨维尔麦迪逊县监狱内的330台安全摄像机。韦尔卡达博客文章称,韦尔卡达提供了一种称为“人物分析”的功能,该功能可使客户“根据许多不同的属性进行搜索和过滤,包括性别特征、衣服的颜色、甚至是一个人的脸部特征”。
一些图像显示,美国某些监狱内的摄像头(其中一些隐藏在通风口、恒温器和除颤器内),使用面部识别技术跟踪囚犯和教养人员的摄像头。黑客说,他们能够访问警察和犯罪嫌疑人之间的交谈的实时场景和存档视频,在某些情况下包括音频,所有这些都以4K的高清模式呈现。
科特曼说,他们的团队能够在摄像机上获得“管理员root”访问权限,这意味着他们可以使用摄像机执行自己的代码。在某些情况下,这种访问权限可能使他们能够转移并获得对韦尔卡达客户的更广泛公司网络的访问权,或者劫持摄像机并将其用作发起未来黑客攻击的平台。科特曼说,获得这种程度的摄像头访问权限不需要任何额外的黑客攻击,因为它是内置功能。
黑客的方法并不复杂:他们通过“超级管理员”帐户访问了韦尔卡达,从而可以窥视其所有客户的摄像机。科特曼称,他们找到了在互联网上公开显示的管理员帐户的用户名和密码。
