对监控摄像机的攻击警告安全性,道德规范
关于视频监控启动Verkada的网络攻击verkada,这些verkada大约有150,000个摄像机,其中许多在安全的位置,受到黑客礼物集体的安全地点,正在提示周围的基本安全卫生以及监视技术的道德规范。
根据Bloomberg的说法,该组织背后的攻击是APT-69420的攻击,从Carmaker Tesla,Web基础设施和安全专业CloudFlare,Myber Chain Equinox和多元教育,医疗保健和监狱设施所操作的设施访问视频源。
该组的代表讲述了新闻组织,他们在发现互联网上公开的Verkada管理员凭据后获得了访问,他们能够从那里获得对其已安装的硬件基础的root访问权限,这可能使他们能够在其客户端横向移动'网络并建立持久性以促进未来的攻击 - 小组似乎不做的事情。
在与Bloomberg共享的声明中,Verkada表示,它已禁用所有内部管理员账户,以防止进一步访问,并从事自己的安全团队和外部专家来调查违规行为。它还已通知执法,在撰写本文时,APT-69420似乎已被驱逐出其系统。
成功的攻击突出了电路板上的网络安全失败。Darren Guccione,CEO和Keeper Security的联合创始人,密码管理专家表示,APT-69420的攻击简单是使其如此危险。
“这种攻击的简单性是使其如此危险,”Guccione说。“这些帐户凭据在线找到[SO]一个网络罪犯,具有正确的资源,并最终访问了暗网网络。
“这是一个需要强大的密码卫生和网络安全最佳实践的典型例子。每个组织都应该理解,网络犯罪分子现在从暗网络上的PublicData违规者置于20亿多亿美元的登录凭证。如果不采取行动以适当监控暗网并在组织内维护密码安全技术,则结果可能是无法弥补的。“
ELISA COSTANTE,互联网(IOT)安全专家FORESCOURT的研究副总裁(IOT),他们曾探索过Verkada遗产的程度,表示,该公司的客户也非常尴尬。
“基于我们自己的研究,Verkada相机在政府和医疗保健中广泛使用,将这些组织尤其易受这些攻击攻击。组织充分保护自己的唯一方法是确保他们拥有全面的设备可见性和控制平台,“她说。
“在这种情况下,似乎只诉诸观看这些相机已经捕获的镜头。但是如果我们选择这样做,他们可能会造成更多伤害,因为我们自己的研究团队发现了。
“我们能够通过利用未加密的视频流协议并执行中间人攻击来拦截,记录和替换智能摄像机的实时镜头,”Costante表示。“这有效地使罪犯成为物理访问场所的虚拟隐形斗篷,并在现实世界中肆虐。”
IAM供应商Onelogin的全球数据保护官Niamh Muldoon表示,Verkada的后果可能是显着的。“视频镜头有能力识别匮乏,并被归类为”敏感“,如隐私法规,如GDPR和/或CCPA,”她说。“因此,Verkada可能会因为这种数据违规而看到巨大的财务影响。
“客户将希望保证他们受到一系列物理和网络安全威胁,包括身份盗窃,”她说。“隐私和行业监管机构将审查Verkada操作以评估是否适当的控制,以保护这些高度敏感和受管制的数据类型。”
与此同时,皮质洞察力史上的斯蒂芬卡普,首席技术官和创始人,威胁英特尔专家,verkada用户的共同指导。“为了限制攻击的伤害,重要的是,使用Verkada相机的任何组织都确保所有管理员和超级管理员帐户都有默认密码更改,并且只要可用的Verkada应用了任何修复程序,”他说。
“该攻击还强化了组织在连接到网络连接的所有设备周围应用安全控制的重要性,因为这将限制入侵者获得邪恶目的的远程访问的入侵者的机会。这种设备永远不应直接连接到互联网。“
也许对于Verkada的客户来说,APT-69420的代表解释说,他们的动机是展示广泛的视频监控是如何宣传的,并且这种系统如何被破坏,以揭示用户可能更愿意保持私人的信息。
例如,一个公开的视频,据说在警察监管中举行了物理克制的嫌疑人,而其他人则揭示了医院患者的身份,或者访问了建筑物安全地区的人。其他数据被泄露的其他数据包括在亚利桑那州的监狱官员被监狱官员保存的视频中给予的视频。
在这方面,它肯定会似乎APT-69420已达到其目标,即A&O IT组的网络安全区域经理,指出的管理安全服务提供商(MSSP)。
“这是一个很容易被黑客组织进入Verkada的系统的事实是可怕的,黑客集团的目的是首先暴露出这些脆弱性,”特纳说。
“我不认为人们总是知道我们究竟通过像Verkada这样的监控公司曝光,我们都知道另一边有人看,但那些认为这些饲料的私人私有的人呢?”
MSSP TaLion的Natalie页面,威胁情报分析师补充说:“这种对待这种高调的组织的攻击,允许攻击者访问高度侵入性监视摄像机非常令人不安。
“我们的现代世界严重依赖监控,建立在数十亿相机上,观察我们的每一个举动。我们基本上创造了一个基础设施,所有对抗威胁景观的对手分类可以利用实现目标,“她说。