来自彭博社消息,硅谷资助的安全摄像头初创公司Verkada遭受了数据泄露,据报道,黑客能够从公司,监狱,警察局和学校访问15万个实时摄像头。
Verkada安全摄像头
数据泄露是由“国际黑客团体”领导的,目的是展示入侵系统的难易程度,该团体的发言人Tillie Kottmann称 。
Kottmann过去与以前的黑客活动有关,其中包括8月份发布了从英特尔公司窃取的数据。科特曼说,其被黑客入侵的原因是“出于好奇,为信息自由和知识产权而战,大量的反资本主义,无政府主义的暗示,而且这样做也太有趣了。”
Kottmann声称这种黑客行为相对简单。黑客团体使用在互联网上公开找到的用户名和密码,对Verkada的系统获得了“超级管理员”级别。获得访问权限后,他们便可以访问整个公司的网络,包括对摄像机(包括某些客户的摄像机)的root访问权限。
Verkada成立于2016年,由包括红杉资本(Sequoia Capital)在内的风险投资公司提供资金,其客户包括特斯拉(Tesla Inc.)和Cloudflare Inc.(这两家公司的安全摄像头都遭到了破坏)。其他受到威胁的安全摄像头包括那些属于Equinox健身房,佛罗里达州哈利法克斯健康,马萨诸塞州斯托顿的警察局,阿拉巴马州汉茨维尔的麦迪逊县监狱,亚利桑那州的格雷厄姆县拘留中心以及桑迪胡克小学的所在地。 2012年的大规模射击。
Verkada的代表在一份声明中说:“我们已禁用所有内部管理员帐户,以防止任何未经授权的访问”,并且“我们的内部安全团队和外部安全公司正在调查此潜在问题的规模和范围。”
数字风险保护软件公司Digital Shadows Ltd.的首席信息安全官Rick Holland表示:“ Verkada定位为本地网络录像机的'更安全,可扩展'的替代方案。” “ Verkada入侵是将服务外包给云提供商的风险的一个例子。当您将安全性外包给第三方时,您并不一定总能获得更大的安全性。”
霍兰德补充说,视频泄漏很可能导致卫生和公共服务部对违反法规的情况进行调查,因为监视录像可以被视为受保护的健康信息。他说:“ GDPR违反个人数据的行为也可能发生,集体诉讼也可能出现。”
移动安全解决方案提供商Lookout Inc.安全解决方案高级经理Hank Schless表示,很可能是通过网络钓鱼攻击获得了访问权限,而网络钓鱼攻击通过社交工程更具说服力。
Schless解释说:“有针对性的网络钓鱼攻击被称为鱼叉式网络钓鱼攻击。” “恶意行为者通常会在社交媒体资料等地方使用公开可用的信息来针对个人建立令人信服的运动。”