導致15萬監控畫面外流的Verkada遭駭真相:超級管理員帳密不「超級」,連工讀生都知道

導致15萬監控畫面外流的Verkada遭駭真相:超級管理員帳密不「超級」,連工讀生都知道

「我們真的有20歲的實習生,他可以瀏覽超過10萬台監控攝影機,隨時可以查看全球所有的監控內容。」一位該公司前高層主管表示。

前幾天,一群自稱是「Advanced Persistent Threat 69420」的駭客團體表示,他們已經入侵了矽谷監控創業公司Verkada收集的監控攝影機數據,能夠看到醫院、公司、警局、監獄以及學校內部的15萬個監控攝影機的即時情況。

導致15萬監控畫面外流的Verkada遭駭真相:超級管理員帳密不「超級」,連工讀生都知道

當時這個駭客團體自稱他們入侵的方式,是在網路上偶然發現了Verkada的超級管理員帳密的登錄憑證。

照理來說,可以控管、登入15萬隻客戶的監控攝影機的這種「超級管理員」帳密,照理來說根本就不應該存在,就算是有所謂的超級管理員,也應該劃分成幾個不同的超級管理員,每個超級管理員只能存取部分數量的攝影機,作為風險控管。或是至少最起碼,也該要嚴加保護,好歹存在某個人的手機裡,然後要生物辨識才能存取才是。怎麼可能「偶然」在網路上被人發現?

不過,根據彭博社和《華盛頓郵報》的最新報導顯示,這些駭客講的話可能是真的。

「超級管理員」帳戶根本不超級 

有Verkada的匿名員工表示,駭客使用的「超級管理員」帳戶,其實原本就在公司內部被廣泛共用。據彭博社報導,有超過100名員工都擁有超級管理員許可權,這意味著這些人可以隨時流覽全球數萬台監控攝影機的即時畫面。

「我們真的有20歲的實習生,他們可以瀏覽超過10萬台監控攝影機,隨時可以查看全球所有的監控內容。」一位該公司前高層主管表示。

Verkada針對彭博社的詢問回覆,表示要獲得客戶的監控攝影機的存取權限,「僅限於需要解決技術問題或解決用戶投訴的員工」Verkada表示,他們對員工的培訓計畫和政策都很清楚,客服人員在存取客戶的影像之前,一定要先需要獲得客戶的明確許可。

不過《華盛頓郵報》引用了研究人員Charles Rollet的證詞,他表示,有該公司的知情人士告訴他,Verkada員工完全可以在客戶不知情的情況下去瀏覽他們的影像。

「人們無法意識到後端真正發生了什麼,他們預設認為自己的影像是安全的,Verkada有這些非常正規的流程保護他們,沒有他們明確的同意自己的影像都很安全。」Charles Rollet說,但很顯然,情況並非總是如此。 

另一位Verkada前員工向彭博社表示,雖然Verkada的內部系統有規範,要求員工記錄並且說明為什麼要瀏覽客戶的監視器,但這種記錄根本沒人看。「沒有人關心監控日誌,」該員工說。「你可以在那張紀錄上寫任何你想寫的東西,甚至只輸入一個空格也行。」 

導致15萬監控畫面外流的Verkada遭駭真相:超級管理員帳密不「超級」,連工讀生都知道

Verkada的雲端監控系統提供了人工智慧的分析功能,包括面部識別和搜尋特定個人的鏡頭能力。Verkada之所以能有15萬以上的客戶,部分原因在於其軟體的優勢。Verkada在一篇技術文章中表示,「人物分析」的功能可以讓客戶根據許多不同的屬性進行搜尋和過濾,包括性別特徵、衣服顏色,甚至是特定人的臉孔。

至於「Advanced Persistent Threat 69420」駭客團體的一位成員則表示,他們只想暴露現實生活中「我們被監視的範圍有多廣,以及至少該確保監視平台安全的這些公司,他們在安全方面投入了多麼少的注意力。對於這些公司來說,除了追求利潤之外,其它什麼事都沒有意義。」

 

janus
作者

PC home雜誌、T客邦產業編輯,曾為多家科技雜誌撰寫專題文章,主要負責作業系統、軟體、電商、資安、A以及大數據、IT領域的取材以及報導,以及軟體相關教學報導。

使用 Facebook 留言
發表回應
謹慎發言,尊重彼此。按此展開留言規則