系统被黑致使客户摄像头遭未授权访问,这家安防公司被罚超2000万元
近日,美国加州安防公司Verkada已同意支付295万美元(约合人民币2099万元)的民事罚款,并将实施一项全面的安全计划。此前2021年,黑客从该公司15万台联网的安全摄像头中窃取了视频,其中一些摄像头安装在精神病医院和妇女健康诊所。
美国联邦贸易委员会(FTC)对Verkada提起的诉讼指出,该公司未能采取适当的信息安全措施,以保护通过其安全摄像头收集的客户和消费者的个人信息。
除了数百万美元的财务罚款外,Verkada和FTC达成的同意令还要求公司实施全面的安全计划,并在未来20年内每年向FTC提交风险评估报告。这项同意令尚需联邦法官批准。
同意令还解决了Verkada涉嫌违反联邦反垃圾邮件法规的指控。该公司通过大量商业电子邮件向潜在客户发送广告,但未提供退订或退出选项。FTC表示,公司未能尊重客户的退订请求,也未在邮件中提供实体邮寄地址。
安全措施存漏洞致使客户摄像头被黑客访问
Verkada的主要产品是支持IP网络的安全摄像头,这些摄像头通过亚马逊云服务(AWS)的云端存储客户数据并保存视频档案。FTC指出,从2019年至2021年,该公司共销售了超过24万台安全摄像头。
据称,Verkada的安全措施存在漏洞,未能要求使用唯一且复杂的密码,未能充分加密客户数据,且未能实施安全的网络控制。因此,在2020年12月至2021年3月期间,Verkada至少发生了两次安全入侵事件。
2021年3月,一名黑客从超过15万台联网的Verkada摄像头中获取了视频录像及其他客户信息,如物理地址、音频记录和客户的Wi-Fi凭据。
FTC表示:“入侵者访问了超过15万台实时监控的客户摄像头,观看了精神病医院的病人(包括躺在病床上的病人)、妇女健康诊所、在房间内玩耍的小孩和被监禁者在牢房内的画面等。”
FTC还指出,2020年12月,一名黑客利用了旧版固件构建服务器中的安全漏洞,而这一漏洞的出现是因为一名员工未能恢复服务器的原始安全设置所致。“黑客在服务器上安装了Mirai僵尸网络软件,并进行恶意活动,包括将服务器武器化,对其他第三方互联网地址发起拒绝服务攻击。Verkada在AWS安全部门标记出这些活动两周多后,才意识到服务器已被入侵。”
FTC表示安防摄像头收集的数据存在用户敏感信息
Verkada在8月30日发表的声明中表示,公司不同意FTC的指控,但接受了和解条款,“以便我们能够继续推进使命,并专注于保护人们和场所的隐私。”
声明中还写道:“我们将继续优先加强Verkada的数据安全态势。”
FTC在诉状中表示,Verkada收集并维护了各种客户信息,包括姓名、物理地址、客户用户名和密码哈希值、客户站点平面图以及客户的Wi-Fi凭据。
FTC还指出,Verkada安全摄像头收集的视频录像“可能包括消费者影像,以及其他敏感的消费者个人信息,例如可见的医疗记录。”
FTC表示:“许多此类消费者的影像本质上具有敏感性,因为一个人在特定地点的出现必然会揭示其个人信息。例如,某个消费者出现在精神病医院的画面直接说明该消费者正在寻求心理健康服务。”
除了实时监控功能外,Verkada的安全摄像头还具备“人物分析”功能,允许客户查看所有被其安全摄像头录制或上传到公司Command平台的消费者高清图像。用户可以通过性别或衣服颜色筛选图像,并通过面部识别或脸部匹配技术搜索图像。
FTC以5比0的投票结果支持了前述同意令。
延伸阅读
美国网络安全和基础设施安全局 (CISA) 警告称,影响大华 IP 摄像机和相关产品的两个关键漏洞。
这两个漏洞是在 2021 年发现的。然而,CISA 现在已“根据积极利用的证据”将它们添加到其目录中。 大华是全球市场上主要的安防摄像机供应商。然而,美国政府此前禁止进口和销售来自中国供应商的某些视频监控产品。 CISA 表示,大华 IP 摄像机和相关产品存在身份验证绕过漏洞。攻击者可以通过构建恶意数据包来绕过设备身份验证。
CISA 要求联邦机构在 9 月 11 日之前“根据供应商的指示应用缓解措施,或者在没有缓解措施的情况下停止使用该产品”。 根据制造商的网站,修补后的软件是可用的,可以通过云升级,从官方网站下载,或通过联系技术支持人员获取。
2022 年 11 月,美国联邦通信委员会禁止授权中国电信和视频监控设备,称华为、中兴、海能达、海康威视和大华“被认为对国家安全构成威胁”。 在英国,监控监管机构此前曾对中国摄像头发出警告。 CISA 强烈敦促所有组织通过优先及时修复突出的漏洞来减少遭受网络攻击的风险。
Cybernews 此前在美国发现了许多暴露的摄像头,任何外人都可以访问这些摄像头,其中一些是实时访问的。
来源:安全内参,参考资料:https://www.govinfosecurity.com/verkada-agrees-to-295m-civil-penalty-after-hacks-a-26179