据媒体报道,Verkada旗下的15万台摄像头被黑客入侵。这些摄像头的安装地点包括学校、医院、监狱、警察局、特斯拉超级工厂等各种场所,其中甚至还有Verkada自家的办公室。Verkada是美国的一家视频安防公司,成立于2016年,主打产品是基于联网摄像头的安防解决方案。其摄像头还支持人脸识别功能,并且能够根据性别、衣服颜色等属性筛选目标人物。2020年1月,Verkada的估值曾达到16亿美元。据媒体报道,黑客组织入侵了Verkada的15万个摄像头,拿到了大约5G的数据。值得注意的是,黑客们使用的攻击方法一点儿也不高大上:他们在网上找到了别人公开的Verkada系统用户名和密码,用这些信息获取了系统的“超级管理员”访问权限。“超级管理员”权限可以访问摄像头拍摄的视频(包括实时视频与存档视频),其中一些摄像头能拍摄高清视频且具有人脸识别功能。同时,“超级管理员”能获得摄像头的root权限,这意味着黑客可以用摄像头来执行自己的代码,从而获得客户网络的更多访问权限,或者劫持摄像头作为网络攻击工具。此外,黑客组织还声称可以访问Verkada数千名客户的完整列表及客户的财务信息。根据黑客组织提供给媒体的一份电子表格,Verkada的客户至少有2.4万个。流出的摄像头视频也显示了这家公司的服务范围之广:遍布美国和加拿大的大学、中小学、酒吧、教堂、博物馆、购物中心、监狱、警察局、机场、私人住宅,等等。位于亚拉巴马州亨茨维尔市的麦迪逊县监狱使用了330个有人脸识别功能的摄像头,其中不少摄像头被安装在通风口、空调之类的隐蔽位置,用来追踪犯人的活动。马萨诸塞州斯托顿一个警察局的摄像头下,则有一名戴着手铐的男子受到警察的讯问。泄露视频也涉及一些知名企业,比如特斯拉、集成化云服务商Cloudfare以及高端健身俱乐部连锁公司Equinox。部分视频可以看到特斯拉上海仓库和正在工作的工人。黑客组织声称,已入侵特斯拉的222个摄像头。有关Cloudfare的视频则显示,其使用安防摄像头覆盖了旧金山、奥斯丁、伦敦和纽约的办公室,旧金山总部的摄像头启用了人脸识别功能。“我们的内部安全团队和外部的安全公司正在调查潜在问题的规模和范围。”Verkada在给媒体的回应中说,目前公司已禁用所有内部管理员账户,已阻拦未经授权的访问。Cloudfare则回应称,他们的安全摄像头主要部署在公司的入口和主要通道,目前摄像头均已关闭并断网。旧金山办公室摄像头的人脸识别功能是Verkada提供的测试功能,公司“从未积极地使用这一功能,也不打算这么做”。“这次攻击暴露了我们受到监视的范围。”黑客组织成员蒂利·科特曼(Tillie Kottmann)表示,这次攻击旨在表明Verkada的摄像头有多么普及,摄像头的安全性在黑客面前又是多么不堪一击。去年10月,Verkada还曾曝出销售总监骚扰女员工的丑闻。涉事销售总监使用公司内安装的人脸识别摄像头偷拍女员工照片,之后又把加上了污言秽语的照片公布在公司内网。此事经媒体报道后,Verkada解雇了销售总监。“也许你的公司购买了安防摄像头,把它放在一些敏感的地方。但是你可能不会想到,这些摄像头拍摄的内容不只是你的安全团队能看见,供应商的一些管理者也能看见。”电子前言基金会网络安全总监伊娃·加珀林(Eva Galperin)说。加珀林表示,安防摄像头和人脸识别通常被应用在公司的办公室和工厂,以防范潜在风险。在公司内部安装监控有很多正当理由,但最重要的是获得员工的知情同意。公司通常会把相关说明写在员工手册里,但可能没有人会去认真读员工手册。* 南方都市报(nddaily)原创内容未经授权,不得转载。