Don't Miss

美保安商遭駭 監控畫面任睇 特斯拉Cloudflare受害

By on March 11, 2021

原文刊於信報財經新聞「StartupBeat創科鬥室

Verkada主要銷售保安監控鏡頭,客戶可通過雲端網絡作監控和管理。(Verkada圖片)

Verkada主要銷售保安監控鏡頭,客戶可通過雲端網絡作監控和管理。(Verkada圖片)

監控鏡頭今日無處不在,若缺乏完善網絡保安,保護私隱談何容易。彭博9日(周二)報道,一個黑客團體聲稱攻破保安美企Verkada並存取其雲端監控系統,客戶包括醫院、企業、警局、監獄及學校等,涉及超過15萬個鏡頭的實時畫面。今次資料外洩的涉事公司,更包括電動車廠商特斯拉(Tesla),以及互聯網服務科企Cloudflare。

Verkada於2016年成立,總部位於加州聖馬特奧,主要銷售保安監控鏡頭;客戶可通過雲端網絡,對其一站式訪問及管理。美國網媒VICE News報道,約2.4萬個組織正使用Verkada軟件,包括私人住宅、購物中心、酒店、非牟利組織及機場。公司於2020年1月籌集8000萬美元風投資金,其估值達到16億美元(約124.8億港元),投資者包括紅杉資本。

Verkada鏡頭支援人臉識別,可根據性別、衣服顏色等,在指定時間監控特定人士。(Verkada圖片)

Verkada鏡頭支援人臉識別,可根據性別、衣服顏色等,在指定時間監控特定人士。(Verkada圖片)

超級管理員賬號密碼外洩

有份策劃入侵的黑客組織Tillie Kottmann,早前成功駭入晶片廠商英特爾(Intel)及汽車製造商日產汽車。組織稱其入侵方法並不複雜,只是從網上流傳的賬號密碼中,成功找到Verkada的「超級管理員」賬號,讓他們輕鬆潛入整個內部網絡。組織甚至揚言騎劫監控系統,執行自己設計的代碼;甚或控制Verkada客戶的網絡,為日後發起網絡攻擊鋪路。

彭博觀看了一段在上海特斯拉倉庫的短片,顯示了電動車生產線的工人動作,黑客聲稱可訪問廠內222部鏡頭。此外,黑客更可存取美國紐約、三藩市、奧斯丁及英國倫敦Cloudflare辦公室的鏡頭,亦能從婦女健康診所、精神病醫院,以及Verkada內部系統窺看短片,包括其財務資料及客戶名單;亦可查看門禁的拍卡紀錄,員工在各樓層的動作無所遁形。

黑客組織找到Verkada的「超級管理員」賬號密碼,並讀取涉及監獄等監控鏡頭片段。(Tillie Kottmann圖片)

黑客組織找到Verkada的「超級管理員」賬號密碼,並讀取涉及監獄等監控鏡頭片段。(Tillie Kottmann圖片)

黑客聲稱,可訪問上海特斯拉廠內222部鏡頭。(Tillie Kottmann圖片)

黑客聲稱,可訪問上海特斯拉廠內222部鏡頭。(Tillie Kottmann圖片)

監獄警局內部一覽無遺

Verkada鏡頭支援人臉識別,因此客戶可透過電腦視覺技術,根據性別、衣服顏色及其他屬性,在指定時間監控特定人士,更可從歷史紀錄中搜索。彭博從流傳的監控短片發現,監獄內的攝像頭(部分隱藏在通風口、溫度控制器及心臟除顫器內),以人臉識別跟蹤囚犯及懲教人員。黑客更可潛入警局的口供房,觀看警員及嫌犯的對話內容,短片並以4K解像度攝錄。

電子前沿基金會網絡安全總監Eva Galperin向彭博稱,人臉識別技術通常用於辦公室及工廠內部,以保護專利訊息及防範內部威脅。不過,若企業採用同一監控網絡,又放在敏感的地方,除了內部的保安團隊,鏡頭廠商的管理員亦會看到。Galperin補充,在公司內部監視環境,要獲得員工知情同意,一般寫在員工手冊上,但往往沒有人認真讀過。

彭博主動聯絡Verkada後,黑客隨即失去訪問權限,無法再觀看監控畫面。Verkada發言人在聲明稱,已禁用所有內部管理員賬戶,防止任何未經授權的訪問。公司正努力通知客戶,建立支援熱線解決問題;同時透過外部安全公司,調查事故規模及影響範圍,並已告知執法部門跟進。

監控鏡頭今日無處不在,若缺乏完善網絡保安,保護私隱談何容易。(Verkada圖片)

監控鏡頭今日無處不在,若缺乏完善網絡保安,保護私隱談何容易。(Verkada圖片)

支持 StartupBeat

如欲投稿、報料,發布新聞稿或採訪通知,按這裏聯絡我們