Η Verkada, ένα security startup της Silicon Valley που παρέχει cloud-based υπηρεσίες κάμερας ασφαλείας, αποκάλυψε ότι υπέστη σημαντική παραβίαση. Σύμφωνα με το Bloomberg, χάκερς απέκτησαν πρόσβαση σε περισσότερες από 150.000 κάμερες ασφαλείας της εταιρείας, συμπεριλαμβανομένων καμερών που είναι εγκατεστημένες σε εργοστάσια και αποθήκες της Tesla, γραφεία της Cloudflare, γυμναστήρια Equinox, νοσοκομεία, φυλακές, σχολεία, αστυνομικά τμήματα και γραφεία της Verkada.
Σύμφωνα με τον Tillie Kottmann, ένα από τα μέλη του διεθνούς hacker collective που παραβίασε το σύστημα, στόχος του hack ήταν να δείξει πόσο «κοινές» είναι οι κάμερες ασφαλείας της εταιρείας και πόσο εύκολα μπορούν να παραβιαστούν. Εκτός από τα live feeds, η ομάδα ισχυρίστηκε επίσης ότι είχε πρόσβαση στο πλήρες αρχείο των βίντεο όλων των πελατών της Verkada.
Ένας εκπρόσωπος της Verkada δήλωσε στο Bloomberg τα ακόλουθα: «Απενεργοποιήσαμε όλους τους εσωτερικούς λογαριασμούς διαχειριστή για να αποτρέψουμε οποιαδήποτε μη εξουσιοδοτημένη πρόσβαση. Η εσωτερική ομάδα ασφαλείας μας καθώς και μία εξωτερική εταιρεία ασφαλείας ερευνούν την κλίμακα και το εύρος αυτού του περιστατικού.»
Πώς έγινε η παραβίαση;
Οι χάκερς κατάφεραν να αποκτήσουν “Super Admin”-level πρόσβαση στο σύστημα της Verkada χρησιμοποιώντας ένα username και έναν κωδικό πρόσβασης που ήταν εκτεθειμένα δημόσια στο διαδίκτυο. Από εκεί, μπόρεσαν να αποκτήσουν πρόσβαση σε ολόκληρο το δίκτυο της εταιρείας, συμπεριλαμβανομένης της πρόσβασης root στις ίδιες τις κάμερες, με αποτέλεσμα οι χάκερς να μπορούν να έχουν πρόσβαση στα εσωτερικά δίκτυα ορισμένων πελατών της Verkada.
Όπως αναφέρει το “The Verge”, η Verkada υπερηφανεύεται ότι προσφέρει internet-connected κάμερες ασφαλείας, που υπόσχονται να διασφαλίσουν στους πελάτες της «απρόσκοπτη και σύγχρονη ασφάλεια». Επιπλέον, οι cloud-connected κάμερες περιλαμβάνουν ένα λεπτό, web-based interface ώστε οι εταιρείες να παρακολουθούν τα feeds τους, ενώ μπορούν να προσφέρουν (προαιρετικά) software αναγνώρισης προσώπου.
Η εταιρεία έχει δεχτεί πυρά στο παρελθόν για κατηγορίες περί σεξισμού και διακρίσεων, ύστερα από ένα περιστατικό που έλαβε χώρα το 2019, όπου ένας διευθυντής πωλήσεων χρησιμοποίησε κάμερες ασφαλείας γραφείου της Verkada για να παρενοχλήσει γυναίκες συναδέλφους φωτογραφίζοντας και δημοσιεύοντας κρυφά τις φωτογραφίες τους σε ένα Slack channel της εταιρείας. Ο Διευθύνων Σύμβουλος της Verkada προσέφερε στα μέλη του Slack channel την επιλογή μεταξύ αποχώρησης από την εταιρεία ή περικοπής των μετοχών τους.
Η λίστα των πελατών της Verkada είναι μεγάλη. Ανάμεσα σε αυτούς συγκαταλέγονται οι εξής:
- Tesla και Cloudflare
- Halifax Health, νοσοκομείο της Florida
- Δημοτικό σχολείο Sandy Hook στο Newtown του Connecticut
- Madison County Jail στο Huntsville της Alabama
- Wadley Regional Medical Center, νοσοκομείο στο Texarkana του Texas
Εκτός από τα πλάνα των καμερών, οι χάκερς υποστηρίζουν ότι μπόρεσαν να αποκτήσουν πρόσβαση και στην πλήρη λίστα των χιλιάδων πελατών της Verkada, αλλά και στα προσωπικά οικονομικά τους στοιχεία.
