黑客入侵15萬個攝像頭，偶然曝光特斯拉上海工廠實況！

一群黑客自曝入侵了美國硅谷初創(chuàng)公司Verkada采集的大量安全攝像機數(shù)據(jù)，并盜取了15萬個監(jiān)控攝像頭實時視頻。

電動汽車公司特斯拉、軟件供應(yīng)商Cloudflare也紛紛躺槍，視頻慘遭曝光。被盜視頻覆蓋了醫(yī)院、診所、公司、警察部門、監(jiān)獄、學(xué)校、精神病院等各種場景。

▲Verkada攝像頭下的特斯拉工廠(來源：彭博社)

一段在特斯拉上海倉庫的被泄露視頻顯示，工人們在裝配線上工作。黑客號稱已入侵特斯拉工廠和倉庫的222個攝像頭。

黑客嘚瑟地表示，他們不僅能看到Verkada辦公室內(nèi)的視頻，還能獲取這家創(chuàng)企所有客戶的完整視頻檔案、財務(wù)報表等其他信息。

這未免令人感到不寒而栗，攝像頭采集的視頻是怎么被盜的?此次視頻泄露的后果是什么?誰應(yīng)該為這個泄露事件承擔(dān)責(zé)任?

這些黑客既主動公布入侵“成果”，又接受外媒采訪，究竟是出于什么目的?

我們身邊越來越密布的攝像頭，還能不能守住隱私這根底線?

01、

醫(yī)院、監(jiān)獄、辦公室諸多視頻遭泄露，

15萬視頻被入侵

Verkada成立于2016年，主業(yè)是銷售安全攝像頭，客戶可以通過網(wǎng)絡(luò)對其進行訪問和管理。去年1月，它獲得8000萬美元風(fēng)險投資資金，估值達(dá)到16億美元，紅杉資本是其投資方之一。

除了能錄制視頻外，其攝像頭還能利用先進的AI視覺技術(shù)，分辨出視頻中的人臉和車輛，并對其進行檢測和人臉識別。

由于Verkada的業(yè)務(wù)范疇非常廣泛，此次黑客入侵風(fēng)波中，許多不同類型機構(gòu)的安全攝像頭視頻慘遭泄露。

一段由哈利法克斯健康佛羅里達(dá)醫(yī)院攝像頭錄的視頻顯示，8名醫(yī)院工作人員抓住一名男子，將他按倒在床上。

在另一家亞利桑那州的坦佩圣盧克醫(yī)院，黑客們號稱能通過攝像機，看到誰使用Verkada門禁控制卡打開某些門的詳細(xì)記錄。

▲Verkada攝像頭下的麥迪遜縣監(jiān)獄(來源：彭博社)

阿拉巴馬州亨茨維爾市麥迪遜縣監(jiān)獄內(nèi)的330個安全攝像頭也被入侵。這些攝像頭使用人臉識別技術(shù)追蹤囚犯和懲教人員，其中不少隱藏在通風(fēng)口、溫度調(diào)節(jié)裝置和除顫器內(nèi)。

此外，美國康涅狄格州紐敦市的桑迪·胡克小學(xué)、威德利地區(qū)醫(yī)療中心、德克薩斯州特克薩卡納醫(yī)院等多所機構(gòu)的視頻也遭泄露。

黑客還可以訪問豪華健身連鎖店Equinox的多個位置，以及軟件供應(yīng)商Cloudflare在舊金山、奧斯丁、倫敦、紐約等辦公室的Verkada攝像機。

根據(jù)彭博社獲取的影像，Cloudflare舊金山總部的攝像頭依靠人臉識別技術(shù)。

▲Verkada人臉識別技術(shù)展示(來源：Verkada)

據(jù)悉，黑客們能通過Verkada的管理員權(quán)限，訪問實時與存檔視頻，這些視頻可高達(dá)4K分辨率，有的還包括音頻。

02、

黑客主動爆料：入侵方法并不難

蒂莉·科特曼(Tillie Kottmann)自稱是入侵Verkada網(wǎng)站的黑客之一，他說此次數(shù)據(jù)泄露由一個國際黑客組織實施，他們能夠下載數(shù)千名Verkada客戶的整個清單和資產(chǎn)負(fù)債表。

此次入侵的主要目的有兩點：展示人們被視頻監(jiān)控的范圍有多廣，以及系統(tǒng)有多容易被侵入。

電子前沿基金會網(wǎng)絡(luò)安全負(fù)責(zé)人伊娃·戈爾佩林(Eva Galperin)分析，有些公司在將安全攝像頭放在比較敏感的地方時，可能沒有想到這些視頻，除了被自己的安全團隊使用外，也能被攝像頭廠商查看。

戈爾佩林說，安全攝像頭和人臉識別技術(shù)經(jīng)常被用于公司辦公室和工廠內(nèi)部，以保護公司內(nèi)部信息并防范相應(yīng)威脅。

這種內(nèi)部監(jiān)視需要得到員工的知情與同意，所以通常會寫進員工手冊里，但是很少有員工真的去翻閱員工手冊。

科特曼認(rèn)為，本次黑客攻擊“暴露了我們被監(jiān)控的范圍有多廣”。

據(jù)他透露，入侵Verkada攝像頭的方法并不復(fù)雜，他們在互聯(lián)網(wǎng)上發(fā)現(xiàn)了一個公開的管理員賬戶的用戶名和密碼，借此進入Verkada網(wǎng)絡(luò)內(nèi)部，從而可以窺視所有客戶的攝像頭。

黑客組織還能獲得攝像頭的“root”權(quán)限，這意味著他們可以用攝像頭執(zhí)行自己的代碼。

這種訪問權(quán)限的獲得相當(dāng)簡單，甚至不需要額外發(fā)動黑客攻擊，因為這就是Verkada的一項內(nèi)置功能。

而在某些情況下，該訪問權(quán)限可以讓他們訪問、劫持更多的Verkada客戶的網(wǎng)絡(luò)與攝像頭，并將其作為發(fā)動黑客攻擊的平臺。

在科特曼看來，此次攻擊體現(xiàn)了安全攝像頭公司疏忽了對網(wǎng)絡(luò)安全的投入，并暴露這些公司只追求利益的一面。

03、

Verkada回應(yīng)：已禁用所有管理員權(quán)限

在彭博社聯(lián)系Verkada之后，黑客已經(jīng)失去了訪問視頻和檔案的權(quán)限。

Verkada發(fā)言人聲明：“我們已禁用所有內(nèi)部管理員帳戶，以防止任何未經(jīng)授權(quán)的訪問。Verkada的內(nèi)部安全團隊和外聘的安全公司也正在調(diào)查這個事件，當(dāng)前已經(jīng)和執(zhí)法部門取得了聯(lián)系。”

一位知情人士透露，Verkada正在調(diào)查這一事件，同時該公司已經(jīng)通知客戶泄露事件的發(fā)生，并建立了一條支持熱線來解決泄露問題。

對此，采用其安全攝像頭的軟件公司Cloudflare發(fā)表聲明稱，人臉識別是Verkada向客戶提供的Beta測試版功能，但他們從未積極使用過，也沒計劃這么做。

Cloudflare還提到，這些安全攝像頭主要部署在公司的入口和主干道位置，他們已經(jīng)將其關(guān)閉，并且切斷了攝像頭與辦公室網(wǎng)絡(luò)的連接。

04、

結(jié)語：平衡應(yīng)用落地與隱私保護

已成AI發(fā)展焦點

在如火如荼發(fā)展的同時，以攝像頭、智能終端等設(shè)備為載體的人工智能技術(shù)，因頻發(fā)地隱私安全事故而不斷被推至風(fēng)口浪尖。

信息泄露事件頻頻暴雷。例如在去年2月，美國擁有超30億人臉數(shù)據(jù)的創(chuàng)企Clearview AI也被黑客攻擊，致使整個客戶名單被盜。

暴露度極高的人臉，似乎越來越難以避開愈發(fā)密布的各路攝像頭。而一旦人臉信息被不法分子竊取，不僅可能侵犯個人隱私、導(dǎo)致財產(chǎn)損失、涉及道德倫理問題，還有可能帶來國家安全風(fēng)險。隱私安全的防范已經(jīng)成為掣肘人工智能應(yīng)用普及的關(guān)鍵因素之一。

這一背景下，相關(guān)標(biāo)準(zhǔn)和法制法規(guī)的健全已經(jīng)刻不容緩，同時產(chǎn)學(xué)界正積極研發(fā)先進技術(shù)，作為防御算法漏洞、加強隱私保護的重要手段之一。【責(zé)任編輯/常青】

來源：彭博社、The Verge

來源：智東西

IT時代網(wǎng)(關(guān)注微信公眾號ITtime2000，定時推送，互動有福利驚喜)所有原創(chuàng)文章版權(quán)所有，未經(jīng)授權(quán)，轉(zhuǎn)載必究。
創(chuàng)客100創(chuàng)投基金成立于2015年，直通硅谷，專注于TMT領(lǐng)域早期項目投資。LP均來自政府、互聯(lián)網(wǎng)IT、傳媒知名企業(yè)和個人。創(chuàng)客100創(chuàng)投基金對IT、通信、互聯(lián)網(wǎng)、IP等有著自己獨特眼光和豐富的資源。決策快、投資快是創(chuàng)客100基金最顯著的特點。

相關(guān)文章

黑客入侵15萬個攝像頭，偶然曝光特斯拉上海工廠實況！

政府系統(tǒng)被攻擊，賴完俄黑客，美國開始賴中國了

美國財政部遭黑客入侵 FBI被要求介入

美宣稱“中國黑客”盯上了軍方，專家：賊喊捉賊