Hackerlar Binlerce Güvenlik Kamerasını İhlal Ediyor
Tesla, Hapishaneler, Hastaneler ve daha fazlası, Hackerlar binlerce güvenlik kamerasını ihlal ediyor.
Bir grup bilgisayar korsanı, Silikon Vadisi girişimi Verkada Inc. tarafından toplanan büyük bir güvenlik kamerası verilerini ihlal ettiklerini ve hastaneler, şirketler, polis departmanları, hapishaneler ve okullardaki 150.000 gözetleme kamerasının canlı yayınına erişim sağladıklarını söylüyor.
Görüntüleri açığa çıkan şirketler arasında otomobil üreticisi Tesla Inc. ve yazılım sağlayıcısı Cloudflare Inc. yer alıyor. Ayrıca bilgisayar korsanları, videoları kadın sağlık klinikleri, psikiyatri hastaneleri ve Verkada’nın ofislerinden görüntüleyebildiler. Hastaneler de dahil olmak üzere bazı kameralar, görüntülerde yakalanan kişileri tanımlamak ve sınıflandırmak için yüz tanıma teknolojisini kullanıyor. Bilgisayar korsanları, tüm Verkada müşterilerinin tam video arşivine de erişebileceklerini söylüyorlar.
Bloomberg tarafından görülen bir videoda, Florida hastanesi Halifax Health’in içindeki bir Verkada kamerası, sekiz hastane çalışanının bir adamla mücadele edip onu yatağa sabitlediğini gösterdi. Halifax Sağlık bir de Verkada kamu bakan web sitesinde özellikli vaka çalışması başlıklı: “Florida Nasıl Sağlık . Sağlayıcı Kolayca Güncelleme ve Ölçeklenebilir HIPAA Uyumlu Güvenlik Sistemi Dağıtılan” Halifax sözcüsü Çarşamba günü Verkada kameraları kullandığını doğruladı ancak “durumun kapsamının sınırlı olduğuna inanıyoruz” dedi.
Şangay’daki bir Tesla deposunun içinde çekilen başka bir video, bir montaj hattındaki işçileri gösteriyor. Bilgisayar korsanları, Tesla fabrikalarında ve depolarında 222 kameraya erişim sağladıklarını söyledi.
Kaliforniya merkezli San Mateo’yu ihlal ettiğini iddia eden bilgisayar korsanlarından biri olan Tillie Kottmann, veri ihlalinin uluslararası bir hacker topluluğu tarafından gerçekleştirildiğini ve video gözetiminin yaygınlığını ve sistemlerin kolayca kırılabileceğini göstermeyi amaçladığını söyledi. Verkada. Kendilerinin zamirlerini kullanan Kottmann, daha önce yonga üreticisi Intel Corp. ve otomobil üreticisi Nissan Motor Co.’yu hackledikleri için övgü aldığını iddia etti . anti-kapitalizm, anarşizmin bir ipucu – ve bunu yapmamak da çok eğlenceli. “
Bir Verkada sözcüsü yaptığı açıklamada, “Herhangi bir yetkisiz erişimi önlemek için tüm dahili yönetici hesaplarını devre dışı bıraktık” dedi. “İç güvenlik ekibimiz ve harici güvenlik firmamız bu sorunun ölçeğini ve kapsamını araştırıyor ve biz de emniyet teşkilatına haber verdik.”
Konuyla ilgili bilgisi olan bir kişi, Verkada’nın baş bilgi güvenliği görevlisinin, bir dahili ekibin ve bir harici güvenlik firmasının olayı araştırdığını söyledi. Devam eden bir soruşturmayı tartışmak için isimsizlik talep eden kişi, şirketin müşterileri bilgilendirmek ve soruları ele almak için bir destek hattı kurmak için çalıştığını söyledi.
San Francisco merkezli Cloudflare yaptığı açıklamada, “Bu öğleden sonra, bir avuç Cloudflare ofisinde ana giriş noktalarını ve ana caddeleri izleyen Verkada güvenlik kamera sisteminin tehlikeye atılmış olabileceği konusunda uyarıldık” dedi. “Kameralar, birkaç aydır resmen kapalı olan birkaç ofiste bulunuyordu.” Şirket, kameraları devre dışı bıraktığını ve ofis ağlarından bağlantısını kestiğini söyledi.
Tesla, “Şu anki anlayışımıza göre, saldırıya uğrayan kameralar yalnızca tedarikçilerimizden birine takılıyor ve ürün, Şangay fabrikamız veya Tesla mağazalarımızdan veya hizmet merkezlerimizden herhangi biri tarafından kullanılmıyor. Şangay fabrikalarından ve bahsedilen diğer yerlerden toplanan verilerimiz yerel sunucularda saklanıyor. “
Bu hikayede tanımlanan diğer şirketler, yorum taleplerine hemen yanıt vermedi. Bu makalede adı geçen hapishane, hastane ve okul temsilcileri ya yorum yapmayı reddetti ya da yorum taleplerine hemen yanıt vermedi.
Bloomberg tarafından görülen bir video, Wisconsin, Stoughton’daki bir polis karakolunda kelepçeli bir adamı sorgulayan memurları gösteriyor. Çavuş. Stoughton’da bir yetkili olan Andrew Johnson, Bloomberg News’e departmanın Verkada kameraları kullandığını doğruladı. Bilgisayar korsanları, 2012’de bir silahlı kişinin 20’den fazla kişiyi öldürdüğü Connecticut, Newtown’daki Sandy Hook İlköğretim Okulu’nun güvenlik kameralarına da erişim kazandıklarını söylüyorlar.
Hackerlar için ayrıca Alabama, Huntsville’deki Madison County Hapishanesi’nde 330 güvenlik kamerası da mevcuttu. Verkada bir uyarınca bir müşteri “arama ve cinsiyet özellikleri, giyim renk ve hatta bir kişinin yüzü de dahil olmak üzere birçok farklı özelliklere dayanarak filtre,” sağlayan adlandırılan bir özellik “İnsanlar Analytics,” sunuyor Verkada blog post. Bloomberg tarafından görülen görüntüler, hapishanenin içindeki kameraların, bazıları havalandırma deliklerinin, termostatların ve defibrilatörlerin içine gizlendiğini, yüz tanıma teknolojisini kullanarak mahkumları ve ceza infaz personelini izlediğini gösteriyor. Bilgisayar korsanları, polis memurları ve şüpheliler arasındaki röportajların ses dahil olmak üzere canlı yayınlarına ve arşivlenmiş videolarına tümü 4K olarak bilinen yüksek çözünürlüklü çözünürlükte erişebildiklerini söylüyorlar.
Kottmann, gruplarının kameralarda “root” erişimi elde edebildiklerini, yani kameraları kendi kodlarını yürütmek için kullanabileceklerini söyledi. Bu erişim, bazı durumlarda, Verkada müşterilerinin daha geniş kurumsal ağına erişim sağlamalarına ve onlara erişim sağlamalarına veya kameraları ele geçirmelerine ve gelecekteki korsanları başlatmak için bir platform olarak kullanmalarına izin verebilir. Kottmann, dahili bir özellik olduğu için kameraya bu kadar erişim elde etmenin herhangi bir ek bilgisayar korsanlığı gerektirmediğini söyledi.
Bilgisayar korsanlarının yöntemleri karmaşık değildi: bir “Süper Yönetici” hesabı aracılığıyla Verkada’ya erişim kazandılar ve tüm müşterilerinin kameralarına göz atmalarına olanak sağladılar. Kottmann, internette halka açık bir şekilde ifşa edilen bir yönetici hesabı için bir kullanıcı adı ve şifre bulduklarını söylüyor. Kottmann, Bloomberg’in Verkada ile iletişime geçmesinin ardından bilgisayar korsanlarının video yayınlarına ve arşivlere erişimi kaybettiğini söyledi.
Bilgisayar korsanları, lüks spor salonu zinciri Equinox’un birçok yerine girebildiklerini söylüyorlar. Texas, Texarkana’daki bir hastane olan Wadley Regional Medical Center’da bilgisayar korsanları, dokuz YBÜ yatağını gösteren Verkada kameralarına baktıklarını söylüyorlar. Hackerlar ayrıca Arizona’daki Tempe St. Luke’s Hastanesinde kameraları izlediklerini ve bazı kapıları açmak için Verkada erişim kontrol kartlarını kimin kullandığına ve bunu ne zaman yaptıklarına dair ayrıntılı bir kayıt görebildiklerini söylüyorlar. Wadley’den bir temsilci yorum yapmaktan kaçındı.
Kottmann, hack “ne kadar geniş bir şekilde izlendiğimizi ve en azından bunu yapmak için kullanılan platformları güvence altına almaya ne kadar az özen gösterildiğini ortaya koyuyor,” dedi Kottmann. “Olup olmadığını her zaman bildiğimiz şeyleri görebilmem çok vahşi ama asla göremedik.” Kottman, Pazartesi sabahı Verkada’nın sistemine erişim kazandıklarını söyledi.
2016 yılında kurulan Verkada, müşterilerin web üzerinden erişip yönetebilecekleri güvenlik kameraları satıyor. Ocak 2020’de, risk sermayesi fonlamasında 80 milyon dolar topladı ve şirkete 1,6 milyar dolar değer biçti. Yatırımcılar arasında Silikon Vadisi’nin en eski şirketlerinden biri olan Sequoia Capital de vardı.
Kottmann, siber güvenlik firmalarının devlet destekli bilgisayar korsanlığı gruplarına ve kriminal siber tehditlere verdiği tanımlara gönülsüz bir gönderme olan hackleme kolektifine “Advanced Persistent Threat 69420” adını veriyor.
Sonra Ekim 2020 yılında Verkada üç çalışanı işten raporlar işçiler Verkada ofiste kadın meslektaşlarının fotoğraflarını çekmek ve onlar hakkında müstehcen şaka yapmak kameralarını kullandığını yüzüne çıktı. Verkada CEO’su Filip Kaliszan, Vice’e yaptığı açıklamada, şirketin “bu olayı başlatan, iş arkadaşlarını hedef alan korkunç davranışlarda bulunan veya yönetici olarak yükümlülüklerine rağmen davranışı bildirmeyi ihmal eden üç kişiyi işten çıkardığını” söyledi.
Hapishaneler, Evler, Ofisler
Kottmann, binlerce Verkada müşterisinin tüm listesinin yanı sıra şirketin varlık ve yükümlülüklerin listelendiği bilançosunu indirebildiklerini söyledi. Verkada, yakından yönetilen bir şirket olarak mali tablolarını yayınlamaz. Kottman, bilgisayar korsanlarının kameralardan birini evinin içine yerleştiren bir Verkada çalışanının kamerasından izlediğini söyledi. Kameradan kaydedilen kliplerden biri, çalışanın ailesiyle bir bulmacayı tamamladığını gösteriyor.
“Bu kamera ağını satın almış bir şirketseniz ve onları hassas yerlere koyuyorsanız, güvenlik ekibiniz tarafından izlenmenin yanı sıra kamera şirketinde de bir yönetici olması beklentisine sahip olmayabilirsiniz. Bloomberg tarafından ihlal hakkında bilgilendirilen Electronic Frontier Foundation’da siber güvenlik direktörü Eva Galperin, ”dedi.
Arizona’nın 17 kamerası bulunan Graham County gözaltı tesisinde, videolar merkez personeli tarafından başlıklar veriliyor ve bir Verkada hesabına kaydediliyor. “Commons Area” da çekilen bir video “ROUNDHOUSE KICK OOPSIE” başlıklı bir video. “Arka Hücre Bloğu” içinde dosyalanmış bir videonun adı “SELLERS SNIFFING / KISSING WILLARD ???” “Sarhoş Tank Dışı” içinde çekilen bir başka video da “SONBAHAR KAFASINI ÇARPIYOR”. “Back Cell” den çekilen iki video “STARE OFF – DONT BLINK!” Başlıklı. ve “LANCASTER LOSES BATTLE.”
Bilgisayar korsanları ayrıca San Francisco, Austin, Londra ve New York’taki Cloudflare ofislerinde Verkada kameralarına erişim sağladı. Bloomberg tarafından görülen görüntülere göre Cloudflare genel merkezindeki kameralar yüz tanıma teknolojisine dayanıyor. Cloudflare yaptığı açıklamada, “Yüz tanıma, Verkada’nın müşterilerine sunduğu bir beta özellik olsa da, onu aktif olarak kullanmadık ve kullanmayı planlamıyoruz” dedi.
EFF’den Galperin, güvenlik kameraları ve yüz tanıma teknolojisinin genellikle şirket ofislerinde ve fabrikalarda özel bilgileri korumak ve içeriden gelen bir tehdide karşı koruma sağlamak için kullanıldığını söyledi.
Galperin, “Bir şirketin içinde gözetim yaptırmak için birçok meşru neden var” diye ekledi. “En önemli kısım, çalışanlarınızın bilgilendirilmiş onayını almaktır. Genellikle bu, kimsenin okumadığı çalışan el kitabının içinde yapılır.”
– Allison McCartney ve Chunying Zhang’ın yardımıyla
Makalenin orijinali için tıklayınız.