導讀：網絡視頻監控真的安全嗎？

整理：鄭麗媛

來源：CSDN（ID：CSDNnews）

你周圍有攝像頭嗎？

如果有的話，請仔細看看這些攝像頭的廠家，如果是來自 Verkada 這個品牌，那么你就要注意了，因為近日這個牌子的攝像頭被黑了！

據外媒昨日報道，安防系統初創公司 Verkada 遭黑客組織入侵，大量監控錄像數據被竊取，15 萬個攝像頭拍攝的實時視頻和存檔監控錄像泄露，而這些攝像頭被安裝在數百家公司、醫院、警察部門、監獄以及學校內，其中特斯拉某一工廠和軟件提供商 Cloudflare 均已淪陷。具體是怎么回事？

01 多處監控視頻曝光

據報道，黑客曝光了部分監控鏡頭片段，視頻中可以看到除了特斯拉和 Cloudflare，婦女診所、精神病院、醫院和 Verkada 自身辦公室的監控視頻也被竊取。而且黑客們還猖狂表示，他們可以訪問所有 Verkada 客戶的完整視頻存檔。

1. 特斯拉

黑客表示，他們獲得了特斯拉某一工廠和倉庫中 222 個攝像頭拍攝的視頻。而據彭博社報道，曝光視頻中被侵入的特斯拉工廠疑似特斯拉上海工廠（目前已更正），監控片段中工人們在裝配線上工作。

▲圖片來自彭博社

特斯拉方面在昨天下午對此回應：目前特斯拉在中國已經停止了這些攝像頭的聯網。此外，特斯拉還澄清視頻中曝光的也并非特斯拉上海工廠：

本次黑客事件的入侵范圍僅涉及河南一處特斯拉供應商生產現場，特斯拉中國區也僅在此供應商工廠使用了少數 Verkada 品牌攝影頭作為遠程質量管理，其他如上海超級工廠、全國各地門店與交付中心等均與此無關聯，且其他攝像設備均接入公司內部網絡而非互聯網，視頻數據采取本地存儲方式，無本次事件提及的安全風險。

2. Cloudflare

Cloudflare 在被通知攝像頭可能被黑的消息后，也迅速回應：

我們已經接到通知，部分用于監控 Cloudflare 辦公室主要入口點和主要通道的 Verkada 安全攝像系統可能已經被黑客侵入。所幸，這些攝像頭僅設于幾個已閑置了數月的辦公室里。

目前?Cloudflare?表示已經禁用了這些攝像頭，并且切斷了其與公司網絡的連接。

3. 佛羅里達州哈利法克斯康復醫院（Halifax Health）

曝光的視頻中，佛羅里達州哈利法克斯康復醫院內的 Verkada 攝像頭顯示，似乎有 8 名醫院工作人員在將一男子綁在床上。

特別諷刺的是，在?Verkada?的網站上，有一則案例研究正好就重點介紹了這家醫院：

如何在佛羅里達州哈利法克斯康復醫院輕松更新和部署一個可擴展的符合 HIPAA 的安全系統。

這下可尷尬了，不僅安全系統沒建成，醫院的攝像頭還被黑了。

4. 阿拉巴馬州亨茨維爾麥迪遜縣監獄

黑客還入侵了位于阿拉巴馬州亨茨維爾麥迪遜縣監獄內的 330 臺安全攝像機，而且可以獲取警察和犯罪嫌疑人之間的實時錄像和存檔視頻，在某些情況下還包括音頻。

▲圖片來自彭博社

這時候對 Verkada?攝像頭的高清簡直是又愛又恨，因為以上所有這些視頻均以 4K 高清分辨率顯示，黑客可以將監獄內的情況看得一清二楚。

除了以上提到的地方，曝光的視頻片段中還包含了馬薩諸塞州斯托頓市一所警察局和康涅狄格州紐敦的桑迪胡克小學的監控視頻。不過目前除了特斯拉和 Cloudflare，上文提到的其他機構均無回應。

02 黑客：為了展示黑監控系統有多容易

自稱參與此次入侵的黑客 Tillie Kottmann 表示，此次襲擊是由一個國際黑客組織實施的，他們還曾攻擊過芯片制造商英特爾和汽車制造商日產。

而這次大規模入侵監控系統的行動目的，僅僅是為了展示視頻監控的普及程度，以及入侵監控系統是多么輕而易舉。這個理由真是“黑客風”。

一般來說，攝像頭被黑主要通過三種方式：

• 掃描攝像頭的協議和端口，瀏覽和訪問設備管理的頁面，找到攝像機并模仿授權用戶；

• 利用在開源或第三方庫中已知的攝像頭軟件漏洞進行攻擊；

• 利用命令注入攻擊的方式（指黑客可通過構造特殊命令字符串的方式，將數據提交至 Web 應用，并由此執行外部程序或系統命令實施攻擊，非法獲取數據或者網絡資源等）

而這次黑客入侵監控系統的方式更加簡單。Kottmann?表示，他們在網上發現了公開曝光的?Verkada 管理員賬戶的用戶名和密碼，所以通過這個“超級管理員”賬戶，然后使用內置的攝像頭功能來獲得 root 用戶訪問權限和遠程控制，黑客們就可以輕松地進入?Verkada 系統并窺視所有客戶的攝像頭。

除了訪問所有用戶的攝像頭，Kottmann?還表示，其所在的黑客組織還能下載幾千個 Verkada 客戶的完整名單，以及?Verkada?的資產詳情，包括資產和負債情況。而在此之前，作為少數人持股的公司，Verkada 從未公布過其財務報表。

更令人擔憂的是，Kottmann?團隊能夠獲得攝像頭的“超級管理員”權限，這就意味著他們可以利用攝像頭執行自己編寫的代碼，從而可能進入?Verkada?客戶們更廣泛的企業網絡，導致更為嚴重的黑客攻擊。

03 主打“安全”卻并不安全

成立于 2016 年的?Verkada 一直主打銷售安全攝像頭，其公司官網主頁也標榜著“智能安全、安全建筑”等宣傳語，吹噓其提供對攝像頭安全遠程訪問的能力，但這次被黑事件卻讓其形象大打折扣。

▲圖片來自 Verkada 官網

本次大規模的黑客事件一經曝光，Verkada?便迅速發表聲明：

我們已經禁用了所有內部管理員賬戶，以防任何未經授權的訪問。我們內部安全團隊和外部安全公司正在調查這次黑客入侵的規模和范圍，并已經通知了執法部門。

此后，Kottmann?指出，由于?Verkada 禁用了內部管理員賬戶，黑客們失去了對視頻和資料的訪問權限。

據知情人士透露，Verkada 的首席信息安全官、公司的內部團隊和一家外部安全公司正在調查這起事件。同時，Verkada?也在努力通知客戶，并設立了支持熱線以幫助解決相關問題。

可這些舉措無異于“亡羊補牢”。

電子前沿基金會網絡安全主任 Eva Galperin 對此表示：

這次事件表明，如果你購買了這些攝像頭并將它們安裝在了敏感的地方，你可能想不到，除了被安全團隊監視之外，許多攝像頭公司的管理人員也在監視你。

同時，也正如?Kottmann?所說，這次的黑客攻擊令人意識到人們被監控的范圍有多廣，而廠商只一味追求利潤，在保護平臺安全性方面投入又有多少。

物聯網時代趨勢下，網絡視頻監控越發普及，監控攝像頭也與越來越多的設備相連，雖然這極大地便利了我們的生活，但確保網絡安全就成為了最為重要的問題。

打著安全的名義獲取豐厚利潤，卻沒有對安全有足夠的投入，這樣的現象又豈僅是?Verkada?一家的問題？對此你有什么看法嗎，歡迎評論區留言！

參考鏈接：

https://www.bloomberg.com/news/articles/2021-03-09/hackers-expose-tesla-jails-in-breach-of-150-000-security-cams

http://bbs.360.cn/thread-15728097-1-1.html

延伸閱讀????

《互聯網安全建設從0到1》

干貨直達????

• 終于有人把網絡爬蟲講明白了
  

• 終于有人把搜索引擎講明白了
  

• 數字化轉型最致命的5個誤區
  

• Python高能小技巧：了解bytes與str的區別

更多精彩????

在公眾號對話框輸入以下關鍵詞

查看更多優質內容！

PPT?|?讀書?|?書單?|?硬核?|?干貨?|?講明白?|?神操作

大數據?|?云計算?|?數據庫?|?Python?|?可視化

AI?|?人工智能?|?機器學習?|?深度學習?|?NLP

5G?|?中臺?|?用戶畫像?|?1024?|?數學?|?算法?|?數字孿生

據統計，99%的大咖都關注了這個公眾號

????

總結

以上是生活随笔為你收集整理的15万个监控摄像头被黑，医院、学校、监狱都被看得一清二楚的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。