【危機展現】Verkada 15 萬個網內監控鏡頭遭入侵 人臉辨識功能恐招人身安全問題

一個黑客組織入侵了安全防護系統初創公司 Verkada 的大約 15 萬個聯網內的監控鏡頭，使他們能夠取得多個組織的實時和存檔影片信號，包括生產設施、醫院、學校、警察部門和監獄，更包括 Tesla。據報道指，黑客主義者 Tillie Kottmann 宣稱是事件負責人之一，向 Bloomberg 披露這次資料入侵行動是一間國際黑客團體所為，目的是為了展示無處不在的視訊監控，以及攻入這些系統輕而易舉。此說法引起爭議，專家正權衡如果安全錄像洩露落入不法分子手中，受害組織可能遭遇的潛在後果。

影片資料洩露可能會導致知識產權盜竊、人身安全威脅、侵犯隱私、敲詐勒索，或許還會受到監管部門的懲罰。更糟糕的是，這些攝像頭採用了面部識別技術，導致了以下問題：攻擊者是否可以真正識別被攝像頭捕捉到的個人，然後將他們作為社交工程（social engineering schemes）或更恐怖計劃的目標。

Bloomberg 查看被盜的 Verkada 影片，包括據指是上海 Tesla 倉庫的裝配線上的工人圖像。不過，Tesla 後來告訴路透社，這段影片實際上是來自供應商在河南省的生產基地，其上海工廠及展示廳未受影響。不過，Kottmann 表示，他們仍能獲取安裝在 Tesla 工廠和倉庫中的 222 個攝錄影像。根據報道，網絡性能公司 Cloudflare 和身份權限管理服務提供商 Okta，被指也在工作場所使用 Verkada 的服務。

這次事件讓人擔憂是否有類似的黑客攻擊，通過監視開發生產活動，以進行工業間諜活動，或可能透過監視工人、管理層和現場安保人員的行蹤，以便在日後進行現場入侵。

Bloomberg 所見的其中一段被洩露的影像中，佛羅里達州哈利法克斯衛生醫院內的 Verkada 攝像頭顯示，似乎有八名醫院工作人員，正將一名男子固定在床上，另一段影片中，看到馬薩諸塞州的警察正查問一名被銬住的男子。據報道，Kottmann 甚至還在 Twitter 上發布了一些影片，後來 Twitter 刪除了黑客的賬號和他們的違規貼文。

這樣的情節讓人聯想到重大的私隱問題，因為這些敏感鏡頭或被用作敲詐。電子隱私信息中心 (EPIC) 的高級顧問 John Davisson 指，這種規模的黑客危害私隱問題並未誇大，因為對任何被拍到的人來說，這都是深深的侵犯。

根據 WhiteHat Security 公司戰略副總裁 Setu Kulkarni 的說法，查看這些影片，黑客可以開始按個人行為偏好，擬訂釣魚活動，有了這些數據及其分析，黑客不僅可透過網絡犯罪，還可以作搶劫或綁架等行為。

EPIC 的 Davisson 認為，防止此類事件發生的最佳保護措施是完全不使用物聯網監控攝像頭。當然，對於一些機構來說，這並不實際。在這些情況下，Davisson 建議盡量減少數據收集，避免使用面部識別，並形容「這是存在嚴重缺陷和充滿問題的技術」，並指這些相關數據「只能在絕對必要的情況下才可保留」。

Verkada 證實，入侵者在 3 月 7 日至 9 日通過 「Jenkins 伺服器獲得了非法訪問權限」，以便對客戶的鏡頭作批量維護操作，例如根據客戶要求調整攝像頭圖像設置。通過這個伺服器，入侵者獲得允許繞過授權系統的憑證。知情人士稱，Verkada 的首席資訊保安官、內部團隊和外部安防公司正在調查此次事件。因討論正在進行的調查，該人士要求匿名。知情人士表示，Verkada 正在通知客戶並開通支援熱線解決問題。

資料來源：http://bit.ly/3bIzA1U、http://bit.ly/30KTvHk