“我们真的有20岁的实习生,他可以浏览超过10万台监控摄影机,随时可以查看全球所有的监控内容。”一位该公司前高层主管表示。
前几天,一群自称是“Advanced Persistent Threat 69420”的黑客团体表示,他们已经入侵了硅谷监控创业公司Verkada收集的监控摄影机数据,能够看到医院、公司、警局、监狱以及学校内部的15万个监控摄影机的即时情况。
当时这个黑客团体自称他们入侵的方式,是在网络上偶然发现了Verkada的超级管理员帐密的登录凭证。
照理来说,可以管控、登录15万只客户的监控摄影机的这种“超级管理员”帐密,照理来说根本就不应该存在,就算是有所谓的超级管理员,也应该划分成几个不同的超级管理员,每个超级管理员只能访问部分数量的摄影机,作为风险管控。或是至少最起码,也该要严加保护,好歹存在某个人的手机里,然后要生物识别才能访问才是。怎么可能“偶然”在网络上被人发现?
不过,根据彭博社和《华盛顿邮报》的最新报道显示,这些黑客讲的话可能是真的。
有Verkada的匿名员工表示,黑客使用的“超级管理员”账户,其实原本就在公司内部被广泛共享。据彭博社报道,有超过100名员工都拥有超级管理员权限,这意味着这些人可以随时浏览全球数万台监控摄影机的即时画面。
“我们真的有20岁的实习生,他们可以浏览超过10万台监控摄影机,随时可以查看全球所有的监控内容。”一位该公司前高层主管表示。
Verkada针对彭博社的询问回复,表示要获得客户的监控摄影机的访问权限,“仅限于需要解决技术问题或解决用户投诉的员工”Verkada表示,他们对员工的培训计划和政策都很清楚,客服人员在访问客户的图片之前,一定要先需要获得客户的明确许可。
不过《华盛顿邮报》引用了研究人员Charles Rollet的证词,他表示,有该公司的知情人士告诉他,Verkada员工完全可以在客户不知情的情况下去浏览他们的图片。
“人们无法意识到后端真正发生了什么,他们默认认为自己的图片是安全的,Verkada有这些非常正规的流程保护他们,没有他们明确的同意自己的图片都很安全。”Charles Rollet说,但很显然,情况并非总是如此。
另一位Verkada前员工向彭博社表示,虽然Verkada的内部系统有规范,要求员工记录并且说明为什么要浏览客户的监视器,但这种记录根本没人看。 “没有人关心监控日志,”该员工说。 “你可以在那张记录上写任何你想写的东西,甚至只输入一个空格也行。”
Verkada的云计算监控系统提供了人工智能的分析功能,包括面部识别和搜索特定个人的镜头能力。Verkada之所以能有15万以上的客户,部分原因在于其软件的优势。Verkada在一篇技术文章中表示,“人物分析”的功能可以让客户根据许多不同的属性进行搜索和过滤,包括性别特征、衣服颜色,甚至是特定人的脸孔。
至于“Advanced Persistent Threat 69420”黑客团体的一位成员则表示,他们只想暴露现实生活中“我们被监视的范围有多广,以及至少该确保监视平台安全的这些公司,他们在安全方面投入了多么少的注意力。对于这些公司来说,除了追求利润之外,其它什么事都没有意义。”