攝像頭
黑客團體科特曼(Kottmann)3月9日說,他們入侵了矽谷初創公司韋爾卡達(Verkada Inc.)收集的大量安全攝像機數據,可以訪問美國醫院、公司、警察局、監獄和學校中的15萬個監視攝像機的實時錄像。
攝像機數據曝光的公司包括汽車製造商特斯拉(Tesla)公司和軟件提供商Cloudflare Inc.。此外,黑客還能夠獲取女性健康診所、精神病醫院和韋爾卡達辦公室的攝像頭信息。某些攝像頭(包括醫院中的攝像頭)使用面部識別技術來識別和分類在鏡頭上看到的人的身份。黑客說,他們還可以訪問所有韋爾卡達客戶的完整視頻檔案。
彭博社指出,在一個被曝光視頻中,佛羅里達州哈利法克斯健康醫院(Halifax Health)內的韋爾卡達攝像頭顯示,似乎有八名醫院工作人員在綁住一名男子並將其固定在床上。
另一個在上海特斯拉倉庫內的監控視頻顯示了裝配線上的工人的工作流程。黑客表示,他們可以訪問特斯拉工廠和倉庫中的222台攝像機。
同一黑客組織此前入侵了晶片製造商英特爾公司和汽車製造商日產汽車公司。
韋爾卡達代表在一份聲明中說:「我們已禁用所有內部管理員帳戶,以防止任何未經授權的訪問。」「我們的內部安全團隊和外部安全公司正在調查此潛在問題的規模和範圍。」
知情人士說,韋爾卡達的首席信息安全官、內部團隊和外部安全公司正在調查此事件。該人士要求匿名討論正在進行的調查,該公司方面表示,目前正在努力通知客戶並建立支持熱線以解決問題。
特斯拉和其他受影響公司的代表沒有立即回應置評請求。視頻遭泄露的監獄、醫院和學校的代表拒絕發表評論,或者沒有立即回應發表評論的請求。
彭博社看到的一段泄露視頻顯示,馬薩諸塞州斯托頓的一個警察局中的警察在問一個戴着手銬的男子。黑客還發佈了康涅狄格州新鎮桑迪胡克小學的安全攝像機視頻,2012年,一名槍手在該地殺死了20多人。
黑客還可以使用位於阿拉巴馬州亨茨維爾麥迪遜縣監獄內的330台安全攝像機。韋爾卡達博客文章稱,韋爾卡達提供了一種稱為「人物分析」的功能,該功能可使客戶「根據許多不同的屬性進行搜索和過濾,包括性別特徵、衣服的顏色、甚至是一個人的臉部特徵」。
一些圖像顯示,美國某些監獄內的攝像頭(其中一些隱藏在通風口、恆溫器和除顫器內),使用面部識別技術跟蹤囚犯和教養人員的攝像頭。黑客說,他們能夠訪問警察和犯罪嫌疑人之間的交談的實時場景和存檔視頻,在某些情況下包括音頻,所有這些都以4K的高清模式呈現。
科特曼說,他們的團隊能夠在攝像機上獲得「管理員root」訪問權限,這意味着他們可以使用攝像機執行自己的代碼。在某些情況下,這種訪問權限可能使他們能夠轉移並獲得對韋爾卡達客戶的更廣泛公司網絡的訪問權,或者劫持攝像機並將其用作發起未來黑客攻擊的平台。科特曼說,獲得這種程度的攝像頭訪問權限不需要任何額外的黑客攻擊,因為它是內置功能。
黑客的方法並不複雜:他們通過「超級管理員」帳戶訪問了韋爾卡達,從而可以窺視其所有客戶的攝像機。科特曼稱,他們找到了在互聯網上公開顯示的管理員帳戶的用戶名和密碼。