數以萬計的verkada攝像頭很容易被員工和駭客使用

根據彭博社和《華盛頓郵報》的最新報道，雲監控公司Verkada的員工可以廣泛地從客戶的攝像頭獲取資訊。...

根據彭博社和《*****》的最新報道，雲監控公司Verkada的員工可以廣泛地從客戶的攝像頭獲取資訊。

Verkada的系統最近被一個“駭客行動主義者”集體攻破，他們在特斯拉工廠、警察局、健身房、學校、監獄和醫院等地獲得了超過15萬臺公司的攝像頭。這個自稱為Advanced Persistent Threat 69420的組織在網上偶然發現了Verkada“超級管理員”帳戶的登入憑據。他們公佈了他們的發現，說他們的動機是“很多好奇，為資訊自由而戰，反對智慧財產權，大量的反****，暗示無**主義——不這麼做也太有趣了。”

現在，匿名的Verkada員工說，駭客訪問的“超級管理員”賬戶在公司內部也被廣泛共享。據彭博社報道，超過100名員工擁有超級管理員許可權，這意味著這些員工可以隨時瀏覽來自世界各地數以萬計的攝像頭的實時資訊。一位前高階職員告訴《華爾街日報》：“我們有20歲的實習生，他們有超過10萬個攝像頭，可以在全球範圍內檢視他們的所有資訊。”。

同時，Verkada說，訪問許可權僅限於需要解決技術問題或解決使用者投訴的員工。“Verkada的培訓計劃和員工政策都很清楚，支援人員在訪問客戶的影片源之前，必須獲得客戶的明確許可，”這家矽谷公司在給彭博社的一份宣告中說。

不過，《*****》援引了監控研究人員查爾斯·羅萊的證詞，他說，對該公司非常瞭解的個人告訴他，Verkada的員工可以在客戶不知情的情況下獲取feed。羅萊說：“人們沒有意識到後端會發生什麼，他們認為在訪問錄影時總是有這些超級正規的流程，公司總是需要給予明確的同意。”。但顯然情況並非總是如此。”

另一位前僱員告訴彭博社，儘管Verkada的內部系統要求員工解釋他們為什麼要訪問客戶的相機，但這些文件並沒有被認真對待。“沒有人關心檢查日誌，”這位員工說。“你可以在那張紙條上放任何你想要的東西；你甚至可以只進入一個空格。”

Verkada的雲端相機賣給客戶的部分原因是其分析軟體的強大。Verkada在一篇博文中說，一個名為“人物分析”的功能可以讓客戶“根據許多不同的屬性進行搜尋和過濾，包括性別特徵、服裝顏色，甚至一個人的臉。”。他們的基於雲的系統讓客戶可以方便地訪問他們相機的feed，這也導致了漏洞的出現。

駭客團體Advanced Persistent Threat 69420（這個名字是對網路安全公司使用的分類法的認可，該分類法將國家資助的駭客與模因編號69和420結合起來）表示，他們希望讓公眾瞭解這種無處不在的監視的危險性。該組織的一位成員告訴彭博社記者，這一漏洞“暴露了我們被監管的範圍有多廣，而且至少在保護用於監管的平臺方面投入的精力有多少，只追求利潤。”。“我怎麼能看到我們一直都知道的事情，卻一直沒看到，真是太瘋狂了。”