大數據文摘出品
作者:Caleb
特斯拉又出事了!
上周,在美國底特律,一輛白色特斯拉Model Y撞上了一輛白色半掛卡車,特斯拉被卡在卡車下,場面一度十分慘烈。
萬幸的是,特斯拉司機和乘客都沒有生命危險,也已經被送往緊急就醫。
讓特斯拉憂心的可不只是又一起車禍而已。
根據一段由黑客曝光的視頻,我們可以看到在上海特斯拉倉庫裝配線上的工人,黑客表示,他們可以訪問特斯拉工廠和222台攝像機。
特斯拉也不是唯一的受害者。佛羅里達州哈利法克斯健康醫院同樣遭到入侵,可以看到8名醫院工作人員試圖將一名男子綁住固定在床上。
根據這群黑客透露,他們現在能夠訪問醫院、公司、警察局、監獄和學校中的15萬個監視攝像機的實時畫面。
而這些受到入侵的組織的共同點,那就是都是用了矽谷初創公司Verkada供貨的攝像頭。
除了能夠實時監控攝像頭數據,黑客還表示,他們能夠訪問所有Verkada客戶的完整視頻檔案。
目前上述被入侵組織都已經採取了相應的措施,特斯拉表示,本次黑客事件的入侵範圍僅涉及河南一處特斯拉供應商生產現場,特斯拉中國區也僅在此供應商工廠使用了少數Verkada品牌攝影頭作為遠程質量管理,其他如上海超級工廠、全國各地門店與交付中心等均與此無關聯,且其他攝像設備均接入公司內部網絡而非網際網路,視頻數據採取本地存儲方式,無本次事件提及的安全風險。
目前特斯拉已經停止了這些攝像頭的聯網,並且已經在供應商現場採取措施進行停止攝像頭工作,並進一步提升各環節的安全把控。
使用公開存儲的用戶名和密碼就能實現如此大規模的入侵?!
如此大規模的入侵不禁讓人讓人好奇,這次的黑客能力到底有多強。
但是根據彭博社報道,黑客只使用了Verkada伺服器上公開存儲的用戶名和密碼。
因為Verkada把密碼存儲在了持續集成工具Jenkins所用插件的Python腳本里,只需要登上維護用的Web應用,你也可以擁有超級管理員權限,甚至不需要擁有其他的黑客知識。
然後就很簡單了,想訪問哪個客戶的攝像頭,你只需要用滑鼠輕點一下就行,甚至你還可以在這些攝像頭上自己編寫代碼。
比如在阿拉巴馬州的麥迪遜縣監獄內,安裝的330台Verkada攝像機提供了一種「人物分析」的功能,這能「根據不同的屬性,比如性彆氣質、服裝顏色,甚至是一個人的臉,進行搜索和篩選」。
根據彭博社公開的圖像,監獄內的攝像頭(其中一些隱藏在通風口,恆溫器和除顫器內),使用面部識別技術來跟蹤囚犯和獄警。黑客說,他們能夠訪問警察和犯罪嫌疑人之間的採訪的實時供稿和存檔視頻,在某些情況下包括音頻,所有這些都以4K的高清解析度進行。
Verkada發言人在一份聲明中說:「我們已禁用所有內部管理員帳戶,以防止任何未經授權的訪問。」「我們的內部安全團隊和外部安全公司正在調查此問題的規模和範圍,並已通知執法部門。」
總部位於舊金山的Cloudflare在一份聲明中說:「下午的時候我們就警覺,監視少數Cloudflare辦公室主要入口和主要通道的Verkada攝像頭系統可能已經遭到破壞。」「這些攝像機位於少數幾個辦公室,這些辦公室已經正式關閉了幾個月。」Cloudflare表示已禁用該攝像頭,並使其與辦公網絡斷開連接。
除Cloudflare和特斯拉外,其他遭到入侵的公司並未對此事置評。
目前,彭博社已與Verkada取得聯繫,黑客隨即便失去了訪問視頻源和檔案的權限。
戰績斐然:入侵過英特爾和任天堂的黑客
作案手法清楚之後,大家應該會對這個人產生一定的好奇吧。
目前,這位年僅21歲的涉事黑客Tillie Kottmann已遭到瑞士當局的搜查,其設備也被沒收,隨後Kottmann的GitLab存儲庫也已被查封。
可能說到這裡,不少人對Kottmann這個人還沒有什麼特別的印象,但要是提到去年英特爾大量秘密文件和原始碼遭泄露一事,大家應該都會恍然大悟,沒錯,這正是Kottmann的「傑作」。
英特爾被泄露的秘密信息緩存大小為20GB,其中包括技術規範,並且與內部晶片組設計有關,以及Kaby Lake平台和英特爾管理引擎(ME)等。
相信大家也還記得2020年,任天堂的數據泄漏事件Gigaleak,Kottmann同樣與該事件有著深深的聯繫。
從2020年4月開始,在9chan上公布了9組數據,包括有關Nintendo Switch和其他內部材料的早期文檔。而「Gigaleak」主要是指,7月24日的第二次泄漏,此次泄露的內容大小為3GB。
Verkada內部還存在不少問題
本來文章到這裡就完了,但是好奇的文摘菌去觀望了一下被入侵的公司Verkada,貌似這個瓜還沒有吃完。
Verkada成立於2016年,主營業務是安全攝像頭,安裝上這種攝像頭後,用戶就可以聯網對其進行訪問和管理。
不過,文摘菌發現,Verkada所謂的超級管理員權限,可以直接忽視用戶選擇的「隱私模式」,也就是說,儘管用戶選擇了「隱私模式」,但超級管理員仍然可以訪問該攝像頭。
不僅如此,公司許多員工的帳戶都擁有查看任何一個攝像頭的權限。
即使這樣,2020年1月,該公司籌集到了8000萬美元的風險投資資金,公司的市場估值一下子就竄到了16億美元。投資者中,還有矽谷老牌公司紅杉資本。
2020年10月,Verkada解僱了三名員工,原因是有報道稱,公司工人使用相機拍攝了Verkada辦公室內女同事的照片,並向她們開了性玩笑。
Verkada執行長Filip Kaliszan在當時對Vice的一份聲明中表示,該公司已經「終止了煽動此事件的三位員工,他們做出了針對同事的惡劣行為,或在有管理職責的情況下卻不舉報」。
但之後,Verkada對涉事員工的處罰只是讓他們選擇被開除,或是減少期權,這3人均選擇留在公司並減持期權。
Kottmann表示,他們能夠下載數千名Verkada客戶的資產負債表等,但Verkada不會發布財務報表,這是相當值得注意的。
如此看來,Kottmann似乎並非為了某種利益而做出這樣的行為,對此你有什麼看法,歡迎在評論區留言討論~
相關報道:
https://www.bloomberg.com/news/articles/2021-03-09/hackers-expose-tesla-jails-in-breach-of-150-000-security-cams?sref=P6Q0mxvj
https://gizmodo.com/feds-eye-swiss-hacker-tied-to-major-security-cam-breach-1846467756
https://www.bloomberg.com/news/articles/2021-03-11/verkada-workers-had-extensive-access-to-private-customer-cameras
https://www.theverge.com/2021/3/12/22328344/tillie-kottmann-hacker-raid-switzerland-verkada-cameras