黑客组织攻破十几万个摄像头,自称为维护正义戳破「天眼」
技术编辑:宗恩丨发自 思否编辑部
近日,一个黑客组织声称,他们入侵了提供面部识别技术和摄像头硬件的美国公司 Verkada,并成功获取了包括汽车制造商特斯拉、软件提供商 Cloudflare、女性健康诊所、精神病院、警察局、监狱、学校和 Verkada 办公室超 15 万个监控摄像头的实时画面。
这个组织中名为 tilllie crimew 的成员公开在 twitter 炫耀其「成果」,用调侃的语气说:「这张照片看着好像特斯拉的仓库,我们本可以利用 Verkada 的访问权限入侵 Cloudflare 首席执行官 Matthew Prince 的笔记本电脑」。
黑客们还表示,只要他们愿意,就可以获得Verkada所有客户的全部视频档案。
自称正义行动
这个黑客组织被外界成为「Arson Cats」,他们称自己为「APT 」,意思是安全研究公司的「高级持续威胁」。
出乎我们意料的是,黑客们并不认为自己在作恶,他们将这次的行动称为「泛联行动」,并声称:只是希望通过引起人们注意的方式,结束「资本主义监视」,这次事件暴露了我们被监视的范围有多广,以及至少在确保用于监视的平台安全方面有多不谨慎,这些公司只追求利润!
这个组织还承认此前入侵芯片制造商英特尔公司和汽车制造商日产汽车公司也是他们做的,原因是为了信息自由、反对知识产权、反资本主义和无政府主义而战。
上文中的黑客 tilllie crimew 声称:这种黑客行为相对简单,他们使用在互联网上找到的用户名和密码入侵 Verkada 的系统,并轻松获得了“超级管理员”访问权限,因为获得这种程度的摄像头访问权限不需要任何额外的黑客攻击,这是系统内置功能。在获得访问权限后,他们便可以访问整个公司的网络,包括对摄像机(包括某些客户的摄像机)的 root 访问权限。
然后进行中转,并获得对 Verkada 客户的访问权限,也可以通过劫持摄像机,将其作为一个平台来发起黑客攻击。
被攻破的摄像头
他们获得了特斯拉工厂和仓库内 222 个摄像头的访问权限,视频是上海的特斯拉仓工厂的工人正在装配线上工作。
还有阿拉巴马州亨茨维尔市麦迪逊县监狱内的 330 个监控摄像头。监狱内的摄像头,其中一些隐藏在通风口、恒温器和除颤器内,利用面部识别技术追踪囚犯和惩戒人员。黑客们说,他们能够访问现场直播和存档视频,在某些情况下包括音频,警察和犯罪嫌疑人之间的采访。
其他视频还有,马萨诸塞州斯特顿的一个警察局里,警察正在询问一名戴着手铐的男子。康涅狄格州纽敦桑迪胡克小学,佛罗里达州医院 Halifax Health 内 8 名医院工作人员将一名男子擒住,并将其钉在床上。
后续处理
Verkada 成立于 2016 年,主要业务是售卖安全摄像头,和提供面部识别技术,Verkada 的一篇博客文章称,Verkada 为可以提 「人员分析」功能,该功能让客户可以根据不同的属性进行搜索和过滤,包括性别特征、衣服颜色,甚至是一个人的脸。
Verkada摄像头
2019 一名 Verkada 销售总监使用 Verkada 办公室安全摄像头秘密拍摄女性同事的照片,并将其张贴在公司的内容中骚扰女性同事,随后 Verkada 首席执行官 Filip Kaliszan 发布一份声明:公司解雇了这个销售总监。这次事件的发生本该给 Verkada 提一个醒,但他们却选择「息事宁人」,没有正视摄像头被滥用的问题,让本该为其他公司作为安全保证的 Verkada 成为了黑客入侵的「钥匙」。
一位知情人士表示,Verkada 的首席信息安全官、一个内部团队和一家外部安全公司正在调查这一事件,具体措施上他们正在努力通知客户,建立了一条支持热线来解决问题,并禁用所有内部管理员帐户,以防止任何未经授权的访问。
我们批判黑客的不法行为,但正如黑客所言,这次事件给我们提了一个醒,如果我们不及早做出行动,被「天眼」监视的世界马上就要来临.....