【數位時代報導/編輯室報告】

繼SolarWinds Orion平台產品、微軟Outlook支援人員帳密相繼遭俄羅斯與中國駭客攻擊後,又有一家位於矽谷的新創公司Verkada受「駭」!而Verkada的服務對象,不乏有知名企業如汽車製造商Tesla、健身連鎖店Equinox、軟體技術服務商Cloudflare,甚至是Verkada自家內部的辦公室,影響範圍甚廣。

根據各家媒體報導,有一群駭客聲稱他們蒐集到大量來自Verkada的安全監視影片,而駭客不但可從後台自由觀看攝影機的即時影片(live feeds),更將影像片段提供給其他新聞業者,興起另一波資安疑慮。

延伸閱讀:宏碁遭駭客REvil勒索天價14億元!成微軟漏洞受害者,官方證實:已通報各國執法機關

Verkada成立於2016年,是一家經營安全攝影鏡頭的公司,客戶可透過網路登入平台立即進行觀看和影像管理。2020年1月,該公司更融得8,000萬美元的資金,使公司估值達到16億美元,其服務對象遍及美國的醫院急診室、大型企業與公司、警察局、監獄牢房和學校等場所。

駭客是由一個總部位於瑞士,自稱Advanced Persistent Threat 69420(APT-69420)的組織,而所謂的 「高級持續性威脅」(APT)是指一種隱匿且持久的電腦入侵過程,由於攻擊過程低調且緩慢,並陰魂不散的存在於網路中,又稱「網路裡的鬼」 。早前英特爾和日產汽車的駭客攻擊也是出自於他們之手。

該組織的代表人Till Kottmann說:「他們進行駭客攻擊時,除了出於好奇心外,也是為了資訊和知識產權的自由而戰;有時則是為了反資本主義,而帶點無政府主義的訴求。她也澄清攻擊動機不是因為錢,或受到任何國家或組織的指使,因為APT-69420並沒有接受任何國家或公司的金援。」

根據Kottmann的說法,Verkada的運作是採「完全集中式」平台(fully-centralized platform)。她的團隊成員發現,Verkada管理員的用戶名和密碼,被儲存在未加密的子網域中,這讓他們可以透過網上公開的系統帳戶和編碼憑據,輕鬆進入Verkada的系統,並以「超級管理員」的權限完全控制Verkada的系統。

Kottmann的駭客團隊從3月8日開始就取得進入Verkada的權限,並持續入侵36小時,而在這波攻擊中,他們可下載或即時觀看15萬個安全攝影機的影像,更可進行遠程控制,但在彭博社聯繫Verkada後,駭客便無法再用相同手法進入系統。

對此,Verkada公司的發言人則發表聲明:「我們已禁用所有內部管理員帳戶,以阻止任何未經授權的訪問權限,內部資安團隊和外部安全公司正在調查這起事件的規模和影響範圍,我們也設立專線供客戶洽詢,並通知執法機關。」

而執法機關FBI對此事未有回應,Cloudflare則向BBC表示:「我們有接到相關通知,不過這些鏡頭被安裝在已正式關閉好幾月的辦公室內。」而Tesla、Equinox則未多作評論。

Kottmann描述Verkada系統所謂的安全是「不存在且不負責任」的,畢竟團隊的攻擊手法,非技術性、不具複雜度,也不難實現。此外,Kottmann也是藉此證明「攝影鏡頭的監視無所不在,而敏感資訊的外洩也是輕而易舉。」

APT-69420提供給媒體的相關影像,除了有Tesla上海廠的作業生產線畫面,還有Cloudflare的安全部門辦公室外,部分畫面更是涉及個人隱私,如醫院重症監護室患者、阿拉巴馬州監獄內囚犯、高級健身房內等的影片。

早在2020年10月,Verkada的員工就曾使用攝影機拍攝自家女性員工,並對其開色情玩笑,公司也因此解雇三名員工。這個事件意外暴露了Verkada攝影鏡頭的監視範圍,並讓外界發現他們在平台安全性維護上,所付出的努力遠低於透過平台追求利潤的努力。

延伸閱讀:先發現微軟bug,卻被捲入駭客風波!戴夫寇爾賣的是怎樣的「攻擊型」資安服務?

Lookout的安全解決方案高級經理Hank Schless表示,這種手法驗證了以電子郵件釣魚方式,誘騙公司員工交出其帳戶憑證的有效性。安全公司Digital Shadows的資訊安全長Rick Holland則藉此點出許多Verkada後續要面對的棘手問題。

從法律面來看,不論調查結果為何,Verkada都將面對事件的監管調查、可能的個人或集體訴訟,例如可能發生違反GDPR個人數據保護的規定。而衛生和公眾服務部(HHS)也將對Verkada和違反HIPAA/HITECH的違規行為展開調查。

對用戶端和服務商來說,這次事件也再次證明透過雲端平台進入敏感數據系統時,仍存有安全性問題。Verkada的案例是對那些有意將安全業務外包給雲端服務商的一個警惕,畢竟當你選擇將安全性外包給第三方時,就無法保證每次都能獲得完整的安全性。