美保安商遭駭 監控畫面任睇 特斯拉Cloudflare受害
原文刊於信報財經新聞「StartupBeat創科鬥室」
監控鏡頭今日無處不在,若缺乏完善網絡保安,保護私隱談何容易。彭博9日(周二)報道,一個黑客團體聲稱攻破保安美企Verkada並存取其雲端監控系統,客戶包括醫院、企業、警局、監獄及學校等,涉及超過15萬個鏡頭的實時畫面。今次資料外洩的涉事公司,更包括電動車廠商特斯拉(Tesla),以及互聯網服務科企Cloudflare。
Verkada於2016年成立,總部位於加州聖馬特奧,主要銷售保安監控鏡頭;客戶可通過雲端網絡,對其一站式訪問及管理。美國網媒VICE News報道,約2.4萬個組織正使用Verkada軟件,包括私人住宅、購物中心、酒店、非牟利組織及機場。公司於2020年1月籌集8000萬美元風投資金,其估值達到16億美元(約124.8億港元),投資者包括紅杉資本。
超級管理員賬號密碼外洩
有份策劃入侵的黑客組織Tillie Kottmann,早前成功駭入晶片廠商英特爾(Intel)及汽車製造商日產汽車。組織稱其入侵方法並不複雜,只是從網上流傳的賬號密碼中,成功找到Verkada的「超級管理員」賬號,讓他們輕鬆潛入整個內部網絡。組織甚至揚言騎劫監控系統,執行自己設計的代碼;甚或控制Verkada客戶的網絡,為日後發起網絡攻擊鋪路。
彭博觀看了一段在上海特斯拉倉庫的短片,顯示了電動車生產線的工人動作,黑客聲稱可訪問廠內222部鏡頭。此外,黑客更可存取美國紐約、三藩市、奧斯丁及英國倫敦Cloudflare辦公室的鏡頭,亦能從婦女健康診所、精神病醫院,以及Verkada內部系統窺看短片,包括其財務資料及客戶名單;亦可查看門禁的拍卡紀錄,員工在各樓層的動作無所遁形。
監獄警局內部一覽無遺
Verkada鏡頭支援人臉識別,因此客戶可透過電腦視覺技術,根據性別、衣服顏色及其他屬性,在指定時間監控特定人士,更可從歷史紀錄中搜索。彭博從流傳的監控短片發現,監獄內的攝像頭(部分隱藏在通風口、溫度控制器及心臟除顫器內),以人臉識別跟蹤囚犯及懲教人員。黑客更可潛入警局的口供房,觀看警員及嫌犯的對話內容,短片並以4K解像度攝錄。
電子前沿基金會網絡安全總監Eva Galperin向彭博稱,人臉識別技術通常用於辦公室及工廠內部,以保護專利訊息及防範內部威脅。不過,若企業採用同一監控網絡,又放在敏感的地方,除了內部的保安團隊,鏡頭廠商的管理員亦會看到。Galperin補充,在公司內部監視環境,要獲得員工知情同意,一般寫在員工手冊上,但往往沒有人認真讀過。
彭博主動聯絡Verkada後,黑客隨即失去訪問權限,無法再觀看監控畫面。Verkada發言人在聲明稱,已禁用所有內部管理員賬戶,防止任何未經授權的訪問。公司正努力通知客戶,建立支援熱線解決問題;同時透過外部安全公司,調查事故規模及影響範圍,並已告知執法部門跟進。
支持EJ Tech
如欲投稿、報料,發布新聞稿或採訪通知,按這裏聯絡我們。