Mezinárodní hackerské skupině se povedl husarský kousek – při útoku na firmu Verkada, zabývající se bezpečnostními kamerovými systémy, se jim podařilo získat přístup ke 150 000 kamerám. Ty se nacházely mimo jiné například v nemocnicích, na policejních stanicích, ve věznicích, školách a v řadě firem, včetně Tesly či Cloudflare.

Některé kamery, včetně těch v nemocnicích, přitom používají technologie pro rozpoznávání obličeje k identifikaci a kategorizaci osob zachycených na videu. Hackeři tvrdí, že kromě živých obrazů získali také přístup k video archivu všech zákazníků Verkady.

Zpravodajská agentura Bloomberg uvádí, že hackeři jako důkaz zveřejnili například záběry z nemocnice Halifax Health na Floridě. Na nich bylo vidět osm zaměstnanců, jež se potýkali s mužem, kterého nakonec připoutali k lůžku. Tiskový mluvčí později skutečně potvrdil, že nemocnice používá kamery Verkada.

Další video ukazovalo záběry ze skladu Tesly v Šanghaji, na kterých byli vidět pracovníci montážní linky. Hackeři tvrdí, že získali přístup ke 222 kamerám v továrnách a skladech Tesly. Postižena byla i firma Cloudflare, zabývající se webovou infrastrukturou a zabezpečením webových stránek. Ta v reakci na informaci o průniku deaktivovala všechny kamery a odpojila je od sítě.

„Deaktivovali jsme všechny účty interních administrátorů, abychom zabránili neoprávněnému přístupu,“ uvedl v oficiálním prohlášení mluvčí společnosti Verkada. „Náš bezpečnostní tým ve spolupráci s externí firmou zabývající se zabezpečením vyšetřuje rozsah a dopad tohoto problému a událost jsme oznámili příslušným orgánům.“ Firma také upozornila své zákazníky a zřídila linku podpory.

Cílem hackerské akce bylo ukázat všudypřítomnost kamerového dohledu a snadnost, s jakou lze tyto systémy napadnout – tak to alespoň tvrdí jeden z členů skupiny. Součástí úspěšného útoku bylo získání přístupu k účtu označovanému jako „Superadministrátor“. Ten umožňoval přístup nejen k obrazům z kamer, ale též k archivovaným záznamům zákazníků Verkady.

Později vyplavalo na povrch, že účet s nejvyššími právy mohlo používat mnoho zaměstnanců Verkady, včetně stážistů. „Měli jsme dvacetileté stážisty, kteří měli přístup k více než 100 000 kamerám a mohli si prohlížet záběry z nich.“ uvedl bývalý zaměstnanec, jehož jméno z pochopitelných důvodů nebylo publikováno.

Není jasné, zda většina zákazníků Verkady věděla, že její zaměstnanci mohou sledovat kamery, které si od ní koupili. Firma však tvrdí, že přístup byl omezen na ty zaměstnance, kteří potřebovali řešit konkrétní technické nebo zákaznické problémy, a že má zavedeny přísné zásady ochrany soukromí svých zákazníků.

Tomáš Růžička z bezpečnostní firmy Check Point upozorňuje na nebezpečnost celé situace: „Hack společnosti Verkada je bohužel další ukázkou útoku na dodavatelský řetězec. V poslední době sledujeme masivní nárůst těchto útoků, kdy jsou zranitelnosti a slabiny v sítích dodavatelů zneužity k útokům na další, a často mnohem lépe chráněné, společnosti.“

Hackeři získali přístup ke 150 000 kamerám – sledovali nemocnice, věznice, školy i sklad Tesly