继SolarWinds Orion平台产品、微软Outlook支援人员帐密相继遭俄罗斯与中国骇客攻击后,沐鸣登录又有一家位于矽谷的新创公司Verkada受“骇”!而Verkada的服务对象,不乏有知名企业如汽车制造商Tesla、健身连锁店Equinox、软件技术服务商Cloudflare,甚至是Verkada自家内部的办公室,影响范围甚广。
根据各家媒体报道,有一群骇客声称他们搜集到大量来自Verkada的安全监视视频,而骇客不但可从后台自由观看摄影机的即时视频(live feeds),更将影像片段提供给其他新闻业者,兴起另一波资安疑虑。
骇客为何骇入Verkada?
Verkada成立于2016年,是一家经营安全摄影镜头的公司,客户可通过网络登入平台立即进行观看和影像管理。2020年1月,该公司更融得8000万美元的资金,使公司估值达到16亿美元,其服务对象遍及美国的医院急诊室、大型企业与公司、警察局、监狱牢房和学校等场所。
骇客是由一个总部位于瑞士,自称Advanced Persistent Threat69420(APT-69420)的组织,而所谓的 “高级持续性威胁”(APT)是指一种隐匿且持久的电脑入侵过程,由于攻击过程低调且缓慢,并阴魂不散的存在于网络中,又称“网络里的鬼” 。早前英特尔和日产汽车的骇客攻击也是出自于他们之手。
该组织的代表人Till Kottmann说:“他们进行骇客攻击时,除了出于好奇心外,也是为了资讯和知识产权的自由而战;有时则是为了反资本主义,而带点无政府主义的诉求。她也澄清攻击动机不是因为钱,或受到任何国家或组织的指使,因为APT-69420并没有接受任何国家或公司的金援。”
骇客的操作手法与Verkada的紧急止血
根据Kottmann的说法,Verkada的运作是采“完全集中式”平台(fully-centralized platform)。她的团队成员发现,Verkada管理员的用户名和密码,被储存在未加密的子网域中,这让他们可以通过网上公开的系统帐户和编码凭据,轻松进入Verkada的系统,并以“超级管理员”的权限完全控制Verkada的系统。
Kottmann的骇客团队从3月8日开始就取得进入Verkada的权限,沐鸣登录官网并持续入侵36小时,而在这波攻击中,他们可下载或即时观看15万个安全摄影机的影像,更可进行远程控制,但在彭博社联系Verkada后,骇客便无法再用相同手法进入系统。
对此,Verkada公司的发言人则发表声明:“我们已禁用所有内部管理员帐户,以阻止任何未经授权的访问权限,内部资安团队和外部安全公司正在调查这起事件的规模和影响范围,我们也设立专线供客户洽询,并通知执法机关。”
而执法机关FBI对此事未有回应,Cloudflare则向BBC表示:“我们有接到相关通知,不过这些镜头被安装在已正式关闭好几月的办公室内。”而Tesla、Equinox则未多作评论。
监视影像遭泄 vs 个人隐私被监视
Kottmann描述Verkada系统所谓的安全是“不存在且不负责任”的,毕竟团队的攻击手法,沐鸣平台登陆非技术性、不具复杂度,也不难实现。此外,Kottmann也是借此证明“摄影镜头的监视无所不在,而敏感资讯的外泄也是轻而易举。”
APT-69420提供给媒体的相关影像,除了有Tesla上海厂的作业生产线画面,还有Cloudflare的安全部门办公室外,部分画面更是涉及个人隐私,如医院重症监护室患者、阿拉巴马州监狱内囚犯、高级健身房内等的视频。
早在2020年10月,Verkada的员工就曾使用摄影机拍摄自家女性员工,并对其开色情玩笑,公司也因此解雇三名员工。这个事件意外暴露了Verkada摄影镜头的监视范围,并让外界发现他们在平台安全性维护上,所付出的努力远低于通过平台追求利润的努力。
客户、云端服务商都应引以为鉴
Lookout的安全解决方案高级经理Hank Schless表示,这种手法验证了以电子邮件钓鱼方式,诱骗公司员工交出其帐户凭证的有效性。安全公司Digital Shadows的资讯安全长Rick Holland则借此点出许多Verkada后续要面对的棘手问题。
从法律面来看,不论调查结果为何,Verkada都将面对事件的监管调查、可能的个人或集体诉讼,例如可能发生违反GDPR个人数据保护的规定。而卫生和公众服务部(HHS)也将对Verkada和违反HIPAA/HITECH的违规行为展开调查。
对用户端和服务商来说,这次事件也再次证明通过云端平台进入敏感数据系统时,仍存有安全性问题。Verkada的案例是对那些有意将安全业务外包给云端服务商的一个警惕,毕竟当你选择将安全性外包给第三方时,就无法保证每次都能获得完整的安全性。