導(dǎo)讀：網(wǎng)絡(luò)視頻監(jiān)控真的安全嗎？

整理：鄭麗媛

來源：CSDN（ID：CSDNnews）

你周圍有攝像頭嗎？

如果有的話，請仔細(xì)看看這些攝像頭的廠家，如果是來自 Verkada 這個品牌，那么你就要注意了，因為近日這個牌子的攝像頭被黑了！

據(jù)外媒昨日報道，安防系統(tǒng)初創(chuàng)公司 Verkada 遭黑客組織入侵，大量監(jiān)控錄像數(shù)據(jù)被竊取，15 萬個攝像頭拍攝的實時視頻和存檔監(jiān)控錄像泄露，而這些攝像頭被安裝在數(shù)百家公司、醫(yī)院、警察部門、監(jiān)獄以及學(xué)校內(nèi)，其中特斯拉某一工廠和軟件提供商 Cloudflare 均已淪陷。具體是怎么回事？

01 多處監(jiān)控視頻曝光

據(jù)報道，黑客曝光了部分監(jiān)控鏡頭片段，視頻中可以看到除了特斯拉和 Cloudflare，婦女診所、精神病院、醫(yī)院和 Verkada 自身辦公室的監(jiān)控視頻也被竊取。而且黑客們還猖狂表示，他們可以訪問所有 Verkada 客戶的完整視頻存檔。

1. 特斯拉

黑客表示，他們獲得了特斯拉某一工廠和倉庫中 222 個攝像頭拍攝的視頻。而據(jù)彭博社報道，曝光視頻中被侵入的特斯拉工廠疑似特斯拉上海工廠（目前已更正），監(jiān)控片段中工人們在裝配線上工作。

▲圖片來自彭博社

特斯拉方面在昨天下午對此回應(yīng)：目前特斯拉在中國已經(jīng)停止了這些攝像頭的聯(lián)網(wǎng)。此外，特斯拉還澄清視頻中曝光的也并非特斯拉上海工廠：

本次黑客事件的入侵范圍僅涉及河南一處特斯拉供應(yīng)商生產(chǎn)現(xiàn)場，特斯拉中國區(qū)也僅在此供應(yīng)商工廠使用了少數(shù) Verkada 品牌攝影頭作為遠(yuǎn)程質(zhì)量管理，其他如上海超級工廠、全國各地門店與交付中心等均與此無關(guān)聯(lián)，且其他攝像設(shè)備均接入公司內(nèi)部網(wǎng)絡(luò)而非互聯(lián)網(wǎng)，視頻數(shù)據(jù)采取本地存儲方式，無本次事件提及的安全風(fēng)險。

2. Cloudflare

Cloudflare 在被通知攝像頭可能被黑的消息后，也迅速回應(yīng)：

我們已經(jīng)接到通知，部分用于監(jiān)控 Cloudflare 辦公室主要入口點和主要通道的 Verkada 安全攝像系統(tǒng)可能已經(jīng)被黑客侵入。所幸，這些攝像頭僅設(shè)于幾個已閑置了數(shù)月的辦公室里。

目前?Cloudflare?表示已經(jīng)禁用了這些攝像頭，并且切斷了其與公司網(wǎng)絡(luò)的連接。

3. 佛羅里達(dá)州哈利法克斯康復(fù)醫(yī)院（Halifax Health）

曝光的視頻中，佛羅里達(dá)州哈利法克斯康復(fù)醫(yī)院內(nèi)的 Verkada 攝像頭顯示，似乎有 8 名醫(yī)院工作人員在將一男子綁在床上。

特別諷刺的是，在?Verkada?的網(wǎng)站上，有一則案例研究正好就重點介紹了這家醫(yī)院：

如何在佛羅里達(dá)州哈利法克斯康復(fù)醫(yī)院輕松更新和部署一個可擴(kuò)展的符合 HIPAA 的安全系統(tǒng)。

這下可尷尬了，不僅安全系統(tǒng)沒建成，醫(yī)院的攝像頭還被黑了。

4. 阿拉巴馬州亨茨維爾麥迪遜縣監(jiān)獄

黑客還入侵了位于阿拉巴馬州亨茨維爾麥迪遜縣監(jiān)獄內(nèi)的 330 臺安全攝像機(jī)，而且可以獲取警察和犯罪嫌疑人之間的實時錄像和存檔視頻，在某些情況下還包括音頻。

▲圖片來自彭博社

這時候?qū)?Verkada?攝像頭的高清簡直是又愛又恨，因為以上所有這些視頻均以 4K 高清分辨率顯示，黑客可以將監(jiān)獄內(nèi)的情況看得一清二楚。

除了以上提到的地方，曝光的視頻片段中還包含了馬薩諸塞州斯托頓市一所警察局和康涅狄格州紐敦的桑迪胡克小學(xué)的監(jiān)控視頻。不過目前除了特斯拉和 Cloudflare，上文提到的其他機(jī)構(gòu)均無回應(yīng)。

02 黑客：為了展示黑監(jiān)控系統(tǒng)有多容易

自稱參與此次入侵的黑客 Tillie Kottmann 表示，此次襲擊是由一個國際黑客組織實施的，他們還曾攻擊過芯片制造商英特爾和汽車制造商日產(chǎn)。

而這次大規(guī)模入侵監(jiān)控系統(tǒng)的行動目的，僅僅是為了展示視頻監(jiān)控的普及程度，以及入侵監(jiān)控系統(tǒng)是多么輕而易舉。這個理由真是“黑客風(fēng)”。

一般來說，攝像頭被黑主要通過三種方式：

• 掃描攝像頭的協(xié)議和端口，瀏覽和訪問設(shè)備管理的頁面，找到攝像機(jī)并模仿授權(quán)用戶；

• 利用在開源或第三方庫中已知的攝像頭軟件漏洞進(jìn)行攻擊；

• 利用命令注入攻擊的方式（指黑客可通過構(gòu)造特殊命令字符串的方式，將數(shù)據(jù)提交至 Web 應(yīng)用，并由此執(zhí)行外部程序或系統(tǒng)命令實施攻擊，非法獲取數(shù)據(jù)或者網(wǎng)絡(luò)資源等）

而這次黑客入侵監(jiān)控系統(tǒng)的方式更加簡單。Kottmann?表示，他們在網(wǎng)上發(fā)現(xiàn)了公開曝光的?Verkada 管理員賬戶的用戶名和密碼，所以通過這個“超級管理員”賬戶，然后使用內(nèi)置的攝像頭功能來獲得 root 用戶訪問權(quán)限和遠(yuǎn)程控制，黑客們就可以輕松地進(jìn)入?Verkada 系統(tǒng)并窺視所有客戶的攝像頭。

除了訪問所有用戶的攝像頭，Kottmann?還表示，其所在的黑客組織還能下載幾千個 Verkada 客戶的完整名單，以及?Verkada?的資產(chǎn)詳情，包括資產(chǎn)和負(fù)債情況。而在此之前，作為少數(shù)人持股的公司，Verkada 從未公布過其財務(wù)報表。

更令人擔(dān)憂的是，Kottmann?團(tuán)隊能夠獲得攝像頭的“超級管理員”權(quán)限，這就意味著他們可以利用攝像頭執(zhí)行自己編寫的代碼，從而可能進(jìn)入?Verkada?客戶們更廣泛的企業(yè)網(wǎng)絡(luò)，導(dǎo)致更為嚴(yán)重的黑客攻擊。

03 主打“安全”卻并不安全

成立于 2016 年的?Verkada 一直主打銷售安全攝像頭，其公司官網(wǎng)主頁也標(biāo)榜著“智能安全、安全建筑”等宣傳語，吹噓其提供對攝像頭安全遠(yuǎn)程訪問的能力，但這次被黑事件卻讓其形象大打折扣。

▲圖片來自 Verkada 官網(wǎng)

本次大規(guī)模的黑客事件一經(jīng)曝光，Verkada?便迅速發(fā)表聲明：

我們已經(jīng)禁用了所有內(nèi)部管理員賬戶，以防任何未經(jīng)授權(quán)的訪問。我們內(nèi)部安全團(tuán)隊和外部安全公司正在調(diào)查這次黑客入侵的規(guī)模和范圍，并已經(jīng)通知了執(zhí)法部門。

此后，Kottmann?指出，由于?Verkada 禁用了內(nèi)部管理員賬戶，黑客們失去了對視頻和資料的訪問權(quán)限。

據(jù)知情人士透露，Verkada 的首席信息安全官、公司的內(nèi)部團(tuán)隊和一家外部安全公司正在調(diào)查這起事件。同時，Verkada?也在努力通知客戶，并設(shè)立了支持熱線以幫助解決相關(guān)問題。

可這些舉措無異于“亡羊補牢”。

電子前沿基金會網(wǎng)絡(luò)安全主任 Eva Galperin 對此表示：

這次事件表明，如果你購買了這些攝像頭并將它們安裝在了敏感的地方，你可能想不到，除了被安全團(tuán)隊監(jiān)視之外，許多攝像頭公司的管理人員也在監(jiān)視你。

同時，也正如?Kottmann?所說，這次的黑客攻擊令人意識到人們被監(jiān)控的范圍有多廣，而廠商只一味追求利潤，在保護(hù)平臺安全性方面投入又有多少。

物聯(lián)網(wǎng)時代趨勢下，網(wǎng)絡(luò)視頻監(jiān)控越發(fā)普及，監(jiān)控攝像頭也與越來越多的設(shè)備相連，雖然這極大地便利了我們的生活，但確保網(wǎng)絡(luò)安全就成為了最為重要的問題。

打著安全的名義獲取豐厚利潤，卻沒有對安全有足夠的投入，這樣的現(xiàn)象又豈僅是?Verkada?一家的問題？對此你有什么看法嗎，歡迎評論區(qū)留言！

參考鏈接：

https://www.bloomberg.com/news/articles/2021-03-09/hackers-expose-tesla-jails-in-breach-of-150-000-security-cams

http://bbs.360.cn/thread-15728097-1-1.html

延伸閱讀????

《互聯(lián)網(wǎng)安全建設(shè)從0到1》

干貨直達(dá)????

• 終于有人把網(wǎng)絡(luò)爬蟲講明白了
  

• 終于有人把搜索引擎講明白了
  

• 數(shù)字化轉(zhuǎn)型最致命的5個誤區(qū)
  

• Python高能小技巧：了解bytes與str的區(qū)別

更多精彩????

在公眾號對話框輸入以下關(guān)鍵詞

查看更多優(yōu)質(zhì)內(nèi)容！

PPT?|?讀書?|?書單?|?硬核?|?干貨?|?講明白?|?神操作

大數(shù)據(jù)?|?云計算?|?數(shù)據(jù)庫?|?Python?|?可視化

AI?|?人工智能?|?機(jī)器學(xué)習(xí)?|?深度學(xué)習(xí)?|?NLP

5G?|?中臺?|?用戶畫像?|?1024?|?數(shù)學(xué)?|?算法?|?數(shù)字孿生

據(jù)統(tǒng)計，99%的大咖都關(guān)注了這個公眾號

????

總結(jié)

以上是生活随笔為你收集整理的15万个监控摄像头被黑，医院、学校、监狱都被看得一清二楚的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。