雲端監視服務遭駭,車廠、醫院、監獄、公司行號影像被公開

一家名為 Verkada,提供企業級雲端影像監控業務的新創公司,其布署在多家客戶的錄影監視器畫面遭駭侵者取得並公開;受害者包括電動車廠 Tesla、雲端服務提供者 Cloudflare、監獄、以及多家健身房、銀行和學校、警局、醫院、診所等。

在駭侵者公開的畫面中,可以清楚看到 Tesla 與 Cloudflare 辦公室内的影像,此外被公開影像的 Verkada 用戶還包括幾家婦科診所、精神科門診、健身中心、銀行分行等等。

該駭侵團體其中一名負責逆向工程的成員,日前在 Twitter 上發表一系列該團體取得的監視器畫面;該團體宣稱握有可存取 Verkada 所有監視器畫面與影像資料庫的帳號密碼,同時在 Twitter 上貼出一張據稱是 Verdaka 管理系統以 Linux root 帳號登入的畫面,其中可以看到網路卡的 MAC address,該 MAC address 即屬於 Verkada 研發的監控裝置網路界面所有。

該駭侵團體也宣稱,發動 Verkada 駭侵攻擊的目的,是要提醒世人更加關切監視系統無所不在,但極為脆弱,很容易遭到駭入的現實。

Verkada 在獲知該公司的系統遭駭侵攻擊後,便取消了駭侵者持有的帳號密碼與其存取權限 ;在 Verkada 發表的資安通報中,指出該公司的一台用於客服系統進行大量裝置維護管理的 Jenkins 伺服器,於 2021 年 3 月 7 日到 9 日間遭到不當存取,駭侵者取得的帳號與權限,有能力跳過該公司的各項安控機制,包括二階段驗證。

但該公司也在通報中強調,目前調查結果並未顯示用戶帳號密碼遭竊,Verkada 本身内部網路和財務等營運系統也未遭駭侵攻擊;至於可能被取得的資訊,則包括部分客戶的影像資料與客戶端系統管理人員的姓名、Email 地址、Verkada 本身的一些銷售資訊等。

相關連結

  1. TWCERT/CC
  2. Latest Security Update
  3. Hackers access surveillance cameras at Tesla, Cloudflare, banks, more
  4. Hackers Breach Thousands of Security Cameras, Exposing Tesla, Jails, Hospitals
Scroll to Top