Небольшая группа хакеров просматривала в прямом эфире и архивировала кадры видеонаблюдения сотен компаний, включая Tesla Inc, получив административный доступ к производителю камер Verkada за последние два дня, сообщил Reuters один из людей, причастных к нарушению.
Швейцарский разработчик программного обеспечения Тилли Коттманн (Tillie Kottmann), привлекший внимание к поиску недостатков в безопасности мобильных приложений и других систем, поделился скриншотами в Twitter со склада Tesla в Калифорнии и тюрьмы в Алабаме в сообщениях, направляемых в Reuters. Коттманн отказался назвать других членов группы.
Коттманн сказал, что они попытались привлечь внимание к повсеместному мониторингу людей после того, как нашли информацию для входа в административные инструменты Веркады публично в Интернете на этой неделе.
Веркада подтвердила факт вторжения, заявив, что она отключила все учетные записи внутренних администраторов для предотвращения несанкционированного доступа.
«Наша группа внутренней безопасности и внешняя охранная фирма изучают масштабы и сферу охвата этого вопроса, и мы уведомили об этом правоохранительные органы» и клиентов, сказали в компании.
Коттманн сказал, что Веркада отрезала доступ хакеров за несколько часов до того, как Bloomberg впервые сообщил о нарушении во вторник.
Хакерская группа, если бы она выбрала, могла бы использовать свое управление видеокамерой для доступа к другим частям сети компании Tesla и производителям программного обеспечения Cloudflare Inc и Okta Inc, по словам Коттманна.
Cloudflare заявила, что ее меры безопасности направлены на то, чтобы предотвратить небольшую утечку, которая может стать более масштабным вторжением, и что никакие данные клиентов не пострадали.
Тесла и Окта не отвечали на запросы о комментариях.
Список учетных записей пользователей Verkada, предоставленный группой взломщиков и просмотренный агентством Reuters, включает тысячи организаций, в том числе сеть спортивных залов «Бэй Клуб» и запуск транспортного оборудования Virgin Hyperloop.
Reuters не смогло самостоятельно проверить подлинность списка или скриншотов, распространяемых Kottmann, но они включали в себя подробные данные и сопоставляли другие материалы Verkada.
Окружная тюрьма Мэдисон в Алабаме, Бэй Клуб и Virgin Hyperloop не отвечали на запросы о комментариях.
Веркада сообщает на своем сайте, что у нее более 5 200 клиентов, включая города, колледжи и гостиницы. Ее камеры пользуются популярностью, потому что они в паре с программным обеспечением ищут конкретных людей или предметы. Пользователи могут получить удаленный доступ к каналам связи через облако.
В интервью агентству Reuters в 2018 году исполнительный директор Филип Калисзан заявил, что Веркада намеренно облегчила многим пользователям организации просмотр видео-каналов в прямом эфире и безопасный обмен ими, например, со специалистами по реагированию на чрезвычайные ситуации.
Компания Verkada привлекла 139 млн долларов венчурного капитала, а последнее финансирование, о котором было объявлено год назад, оценило стартап Силиконовой долины в 1,6 млрд долларов.
Веркада привлекла внимание в прошлом году после того, как вице сообщила, что некоторые сотрудники использовали камеры компании и ее технологию распознавания лиц для фотографирования и обмена фотографиями коллег-женщин. Позже Калисзан охарактеризовал поведение как «вопиющее» и сказал, что в связи с инцидентом были уволены три человека.
Комментарии