1月底，PWN君曾许愿“智能摄像头安全与隐私”这个话题少上热搜。才过一个月，希望就破灭了……

“宇宙第一大厂”特斯拉这两天又上了几个热搜，除了车主坐车顶维权，还卷入了监控摄像头被入侵、工厂视频曝光的危机之中。

工厂、医院、监狱、学校全中招

3月10号，彭博社报道称有多名黑客入侵了硅谷安防系统初创公司Verkada的数据库，获得15万个摄像头的访问权限，包含特斯拉上海超级工厂和仓库中的个摄像头。

摄像头中的特斯拉工厂

10号下午，特斯拉紧急回应，被入侵的摄像头并非来自上海超级工厂，而是河南省一处特斯拉供应商的生产现场，目前已停止摄像头联网。不过，根据被公布的视频来看，不管是哪里的工厂，本属于工厂内的一切都清清楚楚地暴露出来。

当然，在这起事件中，特斯拉不是唯一受害者。和它一样的，还有诊所、精神病院、公司、警察局、监狱、学校、健身房等多个不同类型的组织机构。

摄像头中的美国亚拉巴马州麦迪逊县监狱

简单的入侵手段

“闹着玩”的警示

Verkada成立于年，主业是销售安全联网摄像头。除了监控功能，Verkada摄像头还能利用先进的AI视觉技术，分辨出视频中的人脸和车辆，并对其进行检测和人脸识别。在安防摄像头领域，很多产品跟Verkada摄像头有着相同或相似的功能。

基于安防摄像头的这些功能，很多企业组织都会在办公室、工厂内部安装，或者在办公楼周边等公共环境安装，用于保护企业信息、防范威胁。但这恰恰也是风险所在。

自称为入侵者之一的蒂莉·科特曼（TillieKottmann）说，他们不仅能看到现场直播，还能获取Verkada所有客户存档的视频录像，并下载所有客户名单、资产负债表等敏感信息。他们之所以入侵这些摄像头，主要是为了“好玩”；主动曝光，也是为了向人们展示无处不在的监控以及毫不安全的安防摄像头。

根据Verkada的调查，攻击者在年3月7日获得了摄像头的访问权限。入侵的步骤看起来很常规：获取服务器的访问权限，获取凭证，绕过授权系统（绕过双因子身份验证），最终访问摄像头、获取客户名单，甚至可以在部分客户摄像头上执行Shell脚本命令。

而在入侵者的自述中，实现攻击更是简单：他们只是在网上发现了一个公开（泄露）的超级管理员账户与密码，然后就可以访问Verkada内部网络了。在彭博社的跟踪调查中，一名不愿透露身份的Verkada员工表示，公司内部很多人都能随意使用超级管理员账号，其中一名20岁的实习生有数十万台摄像头的访问权限，能查看全球范围内摄像头的视频。此外，虽然使用超级管理员账户需要多因素验证，但很多用户可以轻易关闭验证，这也增加了被入侵的风险。

这个故事，怎么听怎么熟悉。过往的案例告诉我们，很多设备或平台（路由器、打印机、服务器等）被入侵，都是因为管理员账号密码泄露或权限滥用。这一次，依旧不例外。

怎么办？

在媒体公开报道之后，Verkada禁用了所有内部管理员账户，切断了访问通道。3月11日，Verkada发布声明确认遭遇入侵且表示已经聘请FireEye旗下信息安全公司MandiantSolutions和律师事务所PerkinsCoie来协助调查，同时也联系了FBI进行后续的处理工作。

摄像头遭遇入侵或者泄露用户隐私的事件，几乎天天都在发生，区别只是规模与影响范围。年初，刚曝光一起摄像头厂商ADT员工利用内部偷窥用户的事件，最终员工受罚入狱，ADT则要赔偿用户、修复漏洞、升级产品。

很多时候，类似的事件都以厂商受罚、整改作结。教训尚在，却永远都有企业重蹈覆辙。有的是新入局还不没有足够的安全意识，有的则是因为一心向“qian”看，而忽视了对网络安全的投入。归根结底，都是用户在承担风险。

开着车发现车被黑客操控，也不是耸人听闻????让自动驾驶撞墙，刷别人的脸取钱：在极棒的赛场，AI再一次变成了智障

对于个人用户来说，在家用摄像头的选择和使用过程中，尚且有一定的自主权。而路口、学校、公司等公共场合使用的摄像头，直接采集、使用公众的步态、人脸等数据，一旦因为安全等级低而泄露，对于个人隐私甚至国家层面的安全威胁更大。在这方面，相关标准和法律法规的建立与健全，更是刻不容缓。

关于智能摄像头常见安全风险及安全使用指南，点击下图即可回顾。

让自动驾驶撞墙，刷别人的脸取钱：在极棒的赛场，AI再一次变成了智障

打乱更新计划，影响数万用户，惊动国家安全委员会，挑起外交纷争？微软新漏洞不简单

点分享点收藏点点赞点在看预览时标签不可点收录于话题#个上一篇下一篇

转载请注明:http://www.mamingzhez.com/lbtgs/20826.html