Offengelegtes Passwort verschaffte Hackern Zugang zu 150.000 Kameras

Cyber Security News

Hacktivisten behaupten, einen führenden Hersteller von Überwachungskameras erfolgreich angegriffen zu haben. Einem neuen Bericht zufolge konnten sie auf die Live-Feeds von 150.000 Kameras weltweit zugreifen.

Der Angriff scheint das Werk eines internationalen Hackerkollektivs gewesen zu sein, das damit die mit der allgegenwärtigen Überwachung verbundenen Risiken für die Privatsphäre hervorheben wollte, so Bloomberg.

Der Kamerahersteller, das in San Mateo ansässige Startup Verkada, sagte, es habe alle internen Admin-Konten deaktiviert, um unbefugten Zugriff zu verhindern.

“Unser internes Sicherheitsteam und eine externe Sicherheitsfirma untersuchen das Ausmaß und den Umfang dieses Problems, und wir haben die Strafverfolgungsbehörden benachrichtigt”, fügte es in einer Erklärung an die Nachrichten-Website gesendet.

Der Vorfall scheint legitim zu sein: Bloomberg sagte, es habe Video-Feeds aus dem Inneren von Tesla-Fabriken und Krankenhäusern gesehen. Die Gruppe behauptet, Zugriff auf das gesamte Videoarchiv von Verkada für alle Kunden zu haben, zu denen Frauenkliniken, psychiatrische Krankenhäuser, Gefängnisse und sogar die Büros von Verkada selbst gehören.

Einige der Kameras, wie die in Gefängnissen, verwenden Gesichtserkennung, um Personen zu verfolgen, behauptete der Bericht.

Der Vorfall wird für Verkada peinlich sein, da die Firma ein großes Spiel mit ihren Sicherheitsnachweisen macht und behauptet, dass ihr System von Grund auf sicher ist.

Die Hacktivisten sollen über einen ziemlich bekannten Weg auf die Feeds zugegriffen haben – sie haben Berichten zufolge Logins für ein privilegiertes Konto gefunden, das im Internet ausgesetzt war. Dadurch erhielten sie Root-Zugriff auf die Kameras, um ihren eigenen Code auszuführen und in einigen Fällen breiteren Zugriff auf Kundennetzwerke zu erhalten.

“Während die Verkada-Website beteuert, dass sie eine ‘Secure by Default’-Methode haben, ist es klar, dass wir zwar Geräte mit Blick auf die Sicherheit entwickeln, aber das, was Menschen entwickeln, hat typischerweise Schwachstellen”, argumentiert Ordr CSO, Jeff Horne.

“Da die Daten des Videosystems persönlich identifizierbare Informationen (PII), vertrauliche Unternehmensinformationen und persönliche Gesundheitsinformationen (PHI) enthalten können, ist es wichtig, dass unsere Sicherheits-Community zusammenarbeitet, um Verkada, den betroffenen Organisationen und den Personen, deren Privatsphäre ausgenutzt wurde, zu helfen.”

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com