Sicherheitslücke enthüllt Aufnahmen von Sicherheitskameras bei Tesla, Cloudflare

Cyber Security News

Bei dem Hack wurde auf Überwachungsmaterial von Unternehmen wie Tesla sowie von Krankenhäusern, Gefängnissen, Polizeidienststellen und Schulen zugegriffen.

Hacker behaupten, in das Silicon Valley-Startup Verkada eingedrungen zu sein, um unbefugten Zugriff auf Live-Feeds von 150.000 Sicherheitskameras zu erhalten. Sie behaupten, dass der Hack ihnen weitreichenden Zugriff auf Überwachungsmaterial in Unternehmen wie Tesla und Cloudflare sowie in Krankenhäusern, Unternehmen, Strafverfolgungsbehörden, Schulen und Gefängnissen gab.

Die Gruppe stellte Bloomberg Videomaterial von Kameras zur Verfügung, die von der in San Mateo, Kalifornien, ansässigen Firma Verkada verwaltet wurden, um den Erfolg ihres Einbruchs zu beweisen, wie aus einem Bericht auf der Website des Nachrichtenportals hervorgeht. Verkada stellt Kunden ein webbasiertes Netzwerk von Sicherheitskameras zur Verfügung und behauptet, eine sicherere und skalierbare Alternative zu Vor-Ort-Lösungen für die Videoüberwachung zu sein.

Der Verstoß ist ein Beispiel für die Verletzung der Privatsphäre und der Sicherheit, die auftreten kann, wenn Videoüberwachungsmaterial in die falschen Hände gerät. Es ist auch sehr wahrscheinlich, Verkada in regulatorisches und rechtliches heißes Wasser zu setzen, sobald die Untersuchungen abgeschlossen sind, sagten Sicherheitsexperten.

[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2019/02/19151457/subscribe2.jpg]

Die Hacker-Kollektiv, die sich selbst nennen “Advanced Persistent Threat 69420,” behauptet, dass sie Sicherheitskameras aus dem Inneren Florida Krankenhaus Halifax Health zugegriffen, mit einigen der Aufnahmen von Bloomberg angesehen scheint acht Krankenhausmitarbeiter zu zeigen, einen Mann zu packen und dann halten ihn auf einem Bett nach unten.

Andere Aufnahmen, die von Bloomberg eingesehen wurden, schienen innerhalb einer Tesla-Fabrik in Shanghai zu sein und zeigten Arbeiter an einem Fließband. Die Hacker behaupteten, dass sie auf 222 Kameras zugegriffen haben, die Aktivitäten innerhalb der Tesla-Fabriken und -Lagerhäuser zeigen.

Bloomberg sagte, dass sie auch Überwachungsmaterial von einer Polizeistation in Stoughton, Massachusetts, gesehen haben. In der Zwischenzeit sagten die Hacker der Publikation, dass sie auch Zugang zu den Sicherheitskameras der Sandy Hook Elementary School in Newtown, Connecticut, erhielten, wo ein Schütze 2012 mehr als 20 Menschen tötete; 330 Sicherheitskameras im Madison County Jail in Huntsville, Alabama; Kameras von mehreren Standorten der Luxus-Fitnessstudio-Kette Equinox; Überwachungsmaterial von der Intensivstation des Wadley Regional Medical Center, einem Krankenhaus in Texarkana, Texas; und Kameras im Tempe St. Luke’s Hospital, in Arizona, laut dem Bericht.

Tillie Kottmann, einer der Hacker, die Kredit für den Vorfall beansprucht, sagte Bloomberg die Absicht der Gruppe hinter dem Bruch war es, das Ausmaß, in dem Videoüberwachung existiert zu demonstrieren – aber auch, wie einfach es ist, in diese Systeme zu brechen und sensible und private Aufnahmen auszusetzen.

Kottmann nannte “viel Neugier, Kampf für Informationsfreiheit und gegen geistiges Eigentum, eine große Portion Antikapitalismus, einen Hauch von Anarchismus – und es macht auch einfach zu viel Spaß, es nicht zu tun” als Gründe für das Hacken von Verkada, so der Bericht. Zu den früheren Einbrüchen, für die die Gruppe die Verantwortung übernommen hat, gehören Vorfälle bei Intel und Nissan.

Der Hack: Erlangung von Admin-Privilegien

In diesem Fall verschaffte sich die Gruppe über ein “Super Admin”-Konto Zugang zu Verkada, indem sie einen Benutzernamen und ein Passwort für ein Administratorkonto verwendete, das öffentlich im Internet veröffentlicht wurde. Dadurch hatten sie Zugriff auf die Kameras aller Kunden des Unternehmens, so Kottmann gegenüber Bloomberg. Nachdem die Publikation Verkada kontaktiert habe, hätten die Hacker den Zugang zu den Video-Feeds und Archiven verloren, so die Gruppe, laut dem Bericht.

Diese Methode zeigt die Art der nachgelagerten Auswirkungen von E-Mail-basierten Angriffen wie Spear-Phishing-Attacken, die Social Engineering nutzen, um die Mitarbeiter eines Unternehmens zur Herausgabe von Anmeldedaten zu verleiten, so ein Sicherheitsexperte.

“Es ist sehr wahrscheinlich, dass dies durch einen Phishing-Angriff geschah, der durch Social Engineering noch überzeugender gemacht wurde”, sagte Hank Schless, Senior Manager of Security Solutions bei Lookout in einer E-Mail an Threatpost. “Es ist auch bekannt, dass Angreifer es auf Mitarbeiter der unteren Ebenen abgesehen haben und deren Anmeldedaten ergaunern, um sich dann seitlich durch die Infrastruktur zu bewegen, sobald sie Zugang haben.”

Laufende Ermittlungen zum Verkada Breach

Verkada antwortete am Mittwochmorgen nicht sofort auf die Bitte um einen Kommentar zu dem Angriff und den Bemühungen des Unternehmens zur Schadensbegrenzung. Ein Sprecher von Verkada teilte Bloomberg in einer Stellungnahme mit, dass das Unternehmen alle internen Administratorkonten deaktiviert hat, um einen unbefugten Zugriff zu verhindern.

“Unser internes Sicherheitsteam und die externe Sicherheitsfirma untersuchen das Ausmaß und den Umfang dieses Problems, und wir haben die Strafverfolgungsbehörden informiert,” sagte der Sprecher.

Der CISO von Verkada, ein internes Team und eine externe Sicherheitsfirma untersuchen derzeit den Vorfall, und das Unternehmen ist dabei, die Kunden zu benachrichtigen und eine Support-Hotline einzurichten, um Fragen und Anfragen nach Unterstützung zu beantworten, so Bloomberg.

Unabhängig davon, was das Unternehmen herausfindet, wird Verkada sicherlich mit harten Fragen und Prüfungen sowie behördlichen Untersuchungen und möglichen Klagen wegen des Vorfalls konfrontiert werden, der einmal mehr die Sicherheitsprobleme bei der Zugänglichmachung sensibler Daten in Cloud-basierten Netzwerken zeigt, beobachtete Rick Holland, CISO bei der Sicherheitsfirma Digital Shadows.

“Das Eindringen bei Verkada ist ein Beispiel für die Risiken, die mit der Auslagerung von Diensten an Cloud-Anbieter verbunden sind”, sagte er in einer E-Mail an Threatpost. “Man wird nicht immer sicherer, wenn man seine Sicherheit an einen Dritten auslagert.”

Darüber hinaus wird das Department of Health and Human Services (HHS) wahrscheinlich eine Untersuchung gegen Verkada und die Sicherheitsverletzung wegen HIPAA/HITECH-Verstößen einleiten, da Überwachungsaufnahmen als geschützte Gesundheitsdaten gelten können, so Holland.

Andere regulatorische und rechtliche Probleme könnten ebenfalls auf dem Weg für das Unternehmen sein, fügte er hinzu: “GDPR Verletzungen von persönlichen Daten könnte auch aufgetreten sein, und Sammelklagen könnte auch am Horizont sein,” Holland sagte.

Einige Teile dieses Artikels stammen aus:
threatpost.com