美国初创公司Verkada“摊上事儿”了。

据媒体报道，Verkada旗下的15万台摄像头被黑客入侵。这些摄像头的安装地点包括学校、医院、监狱、警察局、特斯拉超级工厂等各种场所，其中甚至还有Verkada自家的办公室。黑客表示该公司透过摄像头，可以监视购物中心、大学、制药公司、酿酒厂、教堂、博物馆、机场和私人住宅。

彭博社向 Verkada 求证时，Verkada 表示已经阻止了黑客的访问，黑客也表示他们的访问权限被突然切断了。Verkada 在一份声明中表示：“我们已禁用所有内部管理员帐户，以防止任何未经授权的访问。我们的内部安全团队和外部安全公司正在调查受影响的规模和范围”。与此同时，Verkada 已经向执法部门报告此事。

Verkada 于 2016 年成立，主营销售安全摄像头，客户可以通过网络对其进行访问和管理。Verkada 公司生产的摄像头也兼具面部识别功能，Verkada 的摄像头可以通过检测面部表情来识别特定人群，还可以根据性别、衣服颜色和其他特征来筛选特定人群。2020 年 1 月，其融资 8000 万美元，公司估值达到 16 亿美元。

黑客攻击手段简单，但后果很严重

值得注意的是，黑客们使用的攻击方法一点儿也不高大上：参与攻击的黑客 Tillie Kottmann 告诉彭博社，他们在互联网上找到了管理员帐户的用户名和密码，获取了系统的“超级管理员”访问权限。

“超级管理员”权限可以访问摄像头拍摄的视频（包括实时视频与存档视频），同时，“超级管理员”能获得摄像头的root权限，这意味着黑客可以用摄像头来执行自己的代码，从而获得客户网络的更多访问权限，或者劫持摄像头作为网络攻击工具。

此外，黑客组织还声称可以访问Verkada数千名客户的完整列表及客户的财务信息。根据黑客组织提供给媒体的一份电子表格，Verkada的客户至少有2.4万个。

彭博社看到的视频中有多个医院的摄像头，甚至包括 ICU 病房，连阿拉巴马州 Huntsville 县监狱内的 330 台摄像头也可以访问。黑客表示可以访问特斯拉工厂与仓库的 222 台摄像头，在特斯拉上海工厂的摄像头则可以看到流水线上作业的工人。位于旧金山、奥斯丁、伦敦和纽约的 Cloudflare 分部都在监控范围内。

安防摄像头与隐私安全

电子前沿基金会网络安全总监伊娃·加珀林（Eva Galperin）说：“也许你的公司购买了安防摄像头，把它放在一些敏感的地方。但是你可能不会想到，这些摄像头拍摄的内容不只是你的安全团队能看见，供应商的一些管理者也能看见。”

加珀林表示，安防摄像头和人脸识别通常被应用在公司的办公室和工厂，以防范潜在风险。在公司内部安装监控有很多正当理由，但最重要的是获得员工的知情同意。

在《IFSEC Global的2020年视频监控报告》中，有76％的安全最终用户和顾问表示，他们“相当”或“非常”担心其监视系统容易受到网络攻击，其中近一半的受访者表示，“制造商为客户提供支持和故障排除而创建的后门”是他们担心的主要原因。监视硬件中的保护不足也被认为是监视系统中的第三大潜在漏洞。

2021年1月8日，德国下萨克森州数据保护机构LfD Niedersachsen依据GDPR对notebooksbilliger.de AG（NBB）处以1040万欧元的罚款。理由是，该公司被指控，在没有法律依据的情况下，对员工进行了至少两年的视频监控。这些未经授权的摄像头覆盖了工作场所、销售室、仓库和公共区域等。

LfD 强调：“视频监控是对个人权利的一种特别密集的侵犯，因为理论上它可以用来观察和分析一个人的全部行为。”

综上可见，与摄像头安全最近的一个问题是个人隐私安全，这是每个人都不想被碰触的底线。（本文出自SCA安全通信联盟，转载请注明出处。）