硅谷公司公開存儲密碼，致使15萬攝像頭被入侵！中槍的特斯拉：已停止攝像頭聯(lián)網(wǎng)

大數(shù)據(jù)文摘出品

作者：Caleb

 

特斯拉又出事了！

 

上周，在美國底特律，一輛白色特斯拉Model Y撞上了一輛白色半掛卡車，特斯拉被卡在卡車下，場面一度十分慘烈。

 

萬幸的是，特斯拉司機和乘客都沒有生命危險，也已經(jīng)被送往緊急就醫(yī)。

 

 

讓特斯拉憂心的可不只是又一起車禍而已。

 

根據(jù)一段由黑客曝光的視頻，我們可以看到在上海特斯拉倉庫裝配線上的工人，黑客表示，他們可以訪問特斯拉工廠和222臺攝像機。

 

 

特斯拉也不是唯一的受害者。佛羅里達州哈利法克斯健康醫(yī)院同樣遭到入侵，可以看到8名醫(yī)院工作人員試圖將一名男子綁住固定在床上。

 

根據(jù)這群黑客透露，他們現(xiàn)在能夠訪問醫(yī)院、公司、警察局、監(jiān)獄和學(xué)校中的15萬個監(jiān)視攝像機的實時畫面。

 

而這些受到入侵的組織的共同點，那就是都是用了硅谷初創(chuàng)公司Verkada供貨的攝像頭。

 

除了能夠?qū)崟r監(jiān)控攝像頭數(shù)據(jù)，黑客還表示，他們能夠訪問所有Verkada客戶的完整視頻檔案。

 

目前上述被入侵組織都已經(jīng)采取了相應(yīng)的措施，特斯拉表示，本次黑客事件的入侵范圍僅涉及河南一處特斯拉供應(yīng)商生產(chǎn)現(xiàn)場，特斯拉中國區(qū)也僅在此供應(yīng)商工廠使用了少數(shù)Verkada品牌攝影頭作為遠程質(zhì)量管理，其他如上海超級工廠、全國各地門店與交付中心等均與此無關(guān)聯(lián)，且其他攝像設(shè)備均接入公司內(nèi)部網(wǎng)絡(luò)而非互聯(lián)網(wǎng)，視頻數(shù)據(jù)采取本地存儲方式，無本次事件提及的安全風險。

 

目前特斯拉已經(jīng)停止了這些攝像頭的聯(lián)網(wǎng)，并且已經(jīng)在供應(yīng)商現(xiàn)場采取措施進行停止攝像頭工作，并進一步提升各環(huán)節(jié)的安全把控。

 

 

使用公開存儲的用戶名和密碼就能實現(xiàn)如此大規(guī)模的入侵？！

如此大規(guī)模的入侵不禁讓人讓人好奇，這次的黑客能力到底有多強。

 

但是根據(jù)彭博社報道，黑客只使用了Verkada服務(wù)器上公開存儲的用戶名和密碼。

 

因為Verkada把密碼存儲在了持續(xù)集成工具Jenkins所用插件的Python腳本里，只需要登上維護用的Web應(yīng)用，你也可以擁有超級管理員權(quán)限，甚至不需要擁有其他的黑客知識。

 

然后就很簡單了，想訪問哪個客戶的攝像頭，你只需要用鼠標輕點一下就行，甚至你還可以在這些攝像頭上自己編寫代碼。

 

比如在阿拉巴馬州的麥迪遜縣監(jiān)獄內(nèi)，安裝的330臺Verkada攝像機提供了一種“人物分析”的功能，這能“根據(jù)不同的屬性，比如性別氣質(zhì)、服裝顏色，甚至是一個人的臉，進行搜索和篩選”。

 

根據(jù)彭博社公開的圖像，監(jiān)獄內(nèi)的攝像頭（其中一些隱藏在通風口，恒溫器和除顫器內(nèi)），使用面部識別技術(shù)來跟蹤囚犯和獄警。黑客說，他們能夠訪問警察和犯罪嫌疑人之間的采訪的實時供稿和存檔視頻，在某些情況下包括音頻，所有這些都以4K的高清分辨率進行。

 

 

Verkada發(fā)言人在一份聲明中說：“我們已禁用所有內(nèi)部管理員帳戶，以防止任何未經(jīng)授權(quán)的訪問?！薄拔覀兊膬?nèi)部安全團隊和外部安全公司正在調(diào)查此問題的規(guī)模和范圍，并已通知執(zhí)法部門?！?/span>

 

總部位于舊金山的Cloudflare在一份聲明中說：“下午的時候我們就警覺，監(jiān)視少數(shù)Cloudflare辦公室主要入口和主要通道的Verkada攝像頭系統(tǒng)可能已經(jīng)遭到破壞。”“這些攝像機位于少數(shù)幾個辦公室，這些辦公室已經(jīng)正式關(guān)閉了幾個月?！盋loudflare表示已禁用該攝像頭，并使其與辦公網(wǎng)絡(luò)斷開連接。

 

除Cloudflare和特斯拉外，其他遭到入侵的公司并未對此事置評。

 

目前，彭博社已與Verkada取得聯(lián)系，黑客隨即便失去了訪問視頻源和檔案的權(quán)限。

 

戰(zhàn)績斐然：入侵過英特爾和任天堂的黑客

作案手法清楚之后，大家應(yīng)該會對這個人產(chǎn)生一定的好奇吧。

 

目前，這位年僅21歲的涉事黑客Tillie Kottmann已遭到瑞士當局的搜查，其設(shè)備也被沒收，隨后Kottmann的GitLab存儲庫也已被查封。

 

 

可能說到這里，不少人對Kottmann這個人還沒有什么特別的印象，但要是提到去年英特爾大量秘密文件和源代碼遭泄露一事，大家應(yīng)該都會恍然大悟，沒錯，這正是Kottmann的“杰作”。

 

英特爾被泄露的秘密信息緩存大小為20GB，其中包括技術(shù)規(guī)范，并且與內(nèi)部芯片組設(shè)計有關(guān)，以及Kaby Lake平臺和英特爾管理引擎（ME）等。

 

 

相信大家也還記得2020年，任天堂的數(shù)據(jù)泄漏事件Gigaleak，Kottmann同樣與該事件有著深深的聯(lián)系。

 

從2020年4月開始，在9chan上公布了9組數(shù)據(jù)，包括有關(guān)Nintendo Switch和其他內(nèi)部材料的早期文檔。而“Gigaleak”主要是指，7月24日的第二次泄漏，此次泄露的內(nèi)容大小為3GB。

 

Verkada內(nèi)部還存在不少問題

本來文章到這里就完了，但是好奇的文摘菌去觀望了一下被入侵的公司Verkada，貌似這個瓜還沒有吃完。

 

Verkada成立于2016年，主營業(yè)務(wù)是安全攝像頭，安裝上這種攝像頭后，用戶就可以聯(lián)網(wǎng)對其進行訪問和管理。

不過，文摘菌發(fā)現(xiàn)，Verkada所謂的超級管理員權(quán)限，可以直接忽視用戶選擇的“隱私模式”，也就是說，盡管用戶選擇了“隱私模式”，但超級管理員仍然可以訪問該攝像頭。

 

不僅如此，公司許多員工的賬戶都擁有查看任何一個攝像頭的權(quán)限。

即使這樣，2020年1月，該公司籌集到了8000萬美元的風險投資資金，公司的市場估值一下子就竄到了16億美元。投資者中，還有硅谷老牌公司紅杉資本。

 

2020年10月，Verkada解雇了三名員工，原因是有報道稱，公司工人使用相機拍攝了Verkada辦公室內(nèi)女同事的照片，并向她們開了性玩笑。

 

 

Verkada首席執(zhí)行官Filip Kaliszan在當時對Vice的一份聲明中表示，該公司已經(jīng)“終止了煽動此事件的三位員工，他們做出了針對同事的惡劣行為，或在有管理職責的情況下卻不舉報”。

 

但之后，Verkada對涉事員工的處罰只是讓他們選擇被開除，或是減少期權(quán)，這3人均選擇留在公司并減持期權(quán)。

Kottmann表示，他們能夠下載數(shù)千名Verkada客戶的資產(chǎn)負債表等，但Verkada不會發(fā)布財務(wù)報表，這是相當值得注意的。

 

如此看來，Kottmann似乎并非為了某種利益而做出這樣的行為，對此你有什么看法，歡迎在評論區(qū)留言討論~

 

相關(guān)報道：

https://www.bloomberg.com/news/articles/2021-03-09/hackers-expose-tesla-jails-in-breach-of-150-000-security-cams?sref=P6Q0mxvj

https://gizmodo.com/feds-eye-swiss-hacker-tied-to-major-security-cam-breach-1846467756

https://www.bloomberg.com/news/articles/2021-03-11/verkada-workers-had-extensive-access-to-private-customer-cameras

https://www.theverge.com/2021/3/12/22328344/tillie-kottmann-hacker-raid-switzerland-verkada-cameras

點「在看」的人都變好看了哦！