Grupa hackerska poinformowała o uzyskaniu dostępu do skarbca danych obsługującej kamery bezpieczeństwa firmy z doliny krzemowej - Verkada, zyskując dostęp do żywych strumieni ze 150,000 kamer CCTV w szpitalach, firmach, komendach policji, więzieniach i szkołach.

Wśród firm, z których pochodziły nagrania znalazły się producent samochodów Tesla Inc. i dostawca usług informatycznych Cloudflare Inc. Dodatkowo osoby stojące za atakiem uzyskały dostęp do kamer w klinikach dla kobiet, szpitalach psychiatrycznych i biurach samej Verkady. Niektóre z kamer, w tym w szpilach, wykorzystują technologię rozpoznawania twarzy do identyfikacji i kategoryzowania ludzi znajdujących się na nagraniach. Dostęp dotyczył też całości archiwum wszystkich klientów Verkady.

W video widzianym przez Bloomberga, kamera Verkady wewnątrz szpilata Halifax Health na Florydzie zdawała się przedstawiać 8 pracowników szpitala obezwładniających mężczyznę i przywiązujących go do łóżka. Halifax Health pojawia się na publicznej stronie Verkady w studium zatytułowanym: “Jak dostawca usług medyczny z Florydy łatwo zaktualizował i wprowadził do użycia skalowalny system nadzoru zgodny ze standardem HIPAA.”

Kolejne video, nagrane w magazynie Tesli w Szanghaju pokazuje robotników przy linii montażowej. Hakerzy mieli uzyskać dostęp do 222 kamer w fabrykach i magazynach Tesli.

Włamania dokonał międzynarodowy kolektyw hakerski, z intencją udowodnienia wszechobecności nadzoru video oraz łatwości z jaką można się do tych systemów włamać, mówi Tillie Kottmann, z grupy hackerskiej która przyjęła odpowiedzialność za włamanie do mieszczącej się w San Mateo, w Kaliforni Verkada. Kottmann, używający zaimków oni/ich (they/them), wcześniej przyjęli odpowiedzialność za włamanie do producenta chipów Intel Corp. oraz producenta samochodów Nissan Motor Co. Kottmann stwierdzają, że ich powody dla hackowania to “mnóstwo ciekawości, walka o wolność informacji oraz przeciwko własności intelektualnej, duża dawka anty-kapitalizmu i szczypta anarchizmu – to też zbyt dużo dobre zabawy, żeby tego nie robić.”

“Wyłączyliśmy wszystkie wewnętrzne dostępy administracyjne, żeby powstrzymać nieautoryzowany dostęp”, stwierdził przedstawiciel Verkady w oświadczeniu. “Nasz wewnętrzny zespół bezpieczeństwa oraz firma zewnętrzna badają skalę i zakres tego potencjalnego problemu.”

Osoba zarządzająca bezpieczeństwem informacji w Verkadzie, wewnętrzny zespół bezpieczeństwa i zewnętrzna firma zajmująca się bezpieczeństwem badają incydent. Firma prowadzi też działania mające na celu poinformowanie wszystkich klientów, oraz zorganizowanie dla nich wsparcia, mówi osoba prosząca o anonimowość w celu omawiania trwającego śledztwa.

Przedstawiciele Tesli, Cloudflare-a i innych firm zidentyfikowanych w tym artykule nie odpowiedzieli natychmiast na prośby o komentarz. Przedstawiciele więzień, szpitali i szkół wymienionych w artykule, albo odmówili komentarza, lub nie odpowiedzieli na natychmiast na skierowane do nich pytania.

Video zaprezentowane Bloomberg pokazuje oficerów policji w Stoughton, w Massachusetts, przesłuchującego skutego kajdankami człowieka. Hakerzy uzyskali też dostęp do kamer CCTV w szkole podstawowej Sandy Hook w Newtown, Connecticut, w której uzbrojony agresor zastrzelił ponad 20 osób w 2012.

Uzyskano dostęp także do 330 kamer bezpieczeństwa w więzieniu Madison County Jail w Huntsville, w Alabamie. Verkada oferuję funkcję “analizy ludzi” pozwalającą klientom “wyszukiwać i filtrować w oparciu o wiele różnych atrybutów w tym cechy płciowe, kolor ubrania, nawet konkretną twarz” według posta na blogu Verkada. Obrazy przedstawione Bloomberg pokazują wnętrze więzienia, gdzie niektóre z kamer są ukryte w przewodach wentylacyjnych, termostatach czy defibrylatorach, śledząc więźniów oraz obsługę przy użyciu technologii rozpoznawania twarzy. Hackerzy mówią, że byli w stanie uzyskać dostęp do żywego strumienia oraz archiwalnych nagrań, czasami włącznie z dźwiękiem z przesłuchań policyjnych, wszystko w wysokiej jakości obrazu znanej jako 4K.

Kottmann mówi, że byli w stanie uzyskać dostęp administracyjny; “root” do kamer co znaczy, że mogli wykonywać na nich własny kod. Ten poziom dostępu mógł w niektórych wypadkach posłużyć im do uzyskania dostępu do szerszej sieci korporacyjnej klientów Verkady, lub przejęcia kamer i wykorzystania ich do przyszłych ataków. Uzyskanie takiego dostępu nie wymagało żadnych dalszych hacków, było wbudowaną funkcją kamer.

Metody które posłużyły do włamania nie były wyszukany; dostęp do Verkady uzyskano przez konto “Super Admina”, co pozwoliło na wykorzystywanie kamer wszystkich klientów. Kottmann mówią, że znaleźli login i hasło konta administracyjnego publicznie dostępne w internecie. Po tym jak Bloomberg skontaktował się z Verkadą, grupa hackerska utraciła dostęp do żywych strumieni i archiwów, mówią Kottmann.

Osoby stojące za hackiem informują, że były w stanie zobaczyć wiele lokalizacji luksusowej sieci siłowni Equinox. W regionalnym centrum medycznym Wadley, szpitalu w Texarkanie w Teksasie, mogły obserwować przez kamery Verkady 9 łóżek ostrego dyżuru. Podobnie jak w szpitalu Św. Łukasza na Tempe St. w Arizonie, tak jak i mogły uzyskać dostęp do precyzyjnych zapisów kto korzystał z kart dostępu Verkady do otwierania niektórych drzwi oraz kiedy to robił. Przedstawiciele Wadley odmówili komentarza.

Włamanie ma “ujawnić jak szeroko jesteśmy nadzorowani, jak mało uwagi przykłada się, żeby chociaż zabezpieczyć wykorzystywane do tego platformy, w pościgu za niczym poza zyskiem", mówią Kottmann. “To szalone po prostu patrzeć na rzeczy, o których wiedzieliśmy, że się dzieją, ale były poza naszym zasięgiem" powiedzieli Kottman po tym jak uzyskali dostęp do systemów Verkady w poniedziałkowy poranek. Verkada, założona w 2016, sprzedaje kamery CCTV do których klienci mają dostęp i którymi mogą zarządzać przez sieć. W styczniu 2020 firma zgromadziła 80 milionów dolarów z funduszy inwestycyjnych, wartość firmy oceniano na 1.6 miliarda dolarów. Wśród inwestorów znalazła się Sequoia Capital, jedna z najstarszych firm Doliny Krzemowej.

Kottmann nazywa kolektyw hackerski “Anarchist Persistent Threat 69420,” co jest dowcipnym odniesieniem do desygnacji stosowanych przez firmy zajmujące się bezpieczeństwem informatycznym wobec sponsorowanych przez państwa grup hackerskich oraz gangów cyberprzestępców.

W październiku 2020, Verkada zwolniła trzech pracowników po ujawnieniu w raportach, że używali kamer znajdujących się w ich własnym biurze w celu wykonywania zdjęć swoich koleżanek z pracy oraz robienia na ich temat wymownych seksualnie żartów. Prezes Verkady Filip Kaliszan stwierdził wtedy w oświadczeniu, że firma “usunęła trzy osoby które zainicjowały ten incydent, dopuściły się niestosownego zachowania wymierzonego we współpracowniczki lub nie zgłosiły tego do przełożonych, mimo takiego zobowiązania".

Kottmann mówią, że byli w stanie ściągnąć pełną listę tysięcy klientów Verkada, tak jak i rozliczenia firmy, wymieniające wszystkie zasoby i zobowiązania. Jako specyficznie zarejestrowana forma firmy, Verkada nie publikuje swoich sprawozdań finansowych. Kottman stwierdzają, że grupa obserwowała pracownika Verkady, który zainstalował kamerę w swoim domu. Jeden z zapisanych klipów pokazywał jak wraz z rodziną układa puzzle.

“Jeśli jesteś firmą, która kupuje taką sieć kamer i montuje je w miejscach objętych poufnością, możesz nie spodziewać się, że poza twoim zespołem bezpieczeństwa jest też jakiś administrator także obserwujący te kamery” stwierdziła Eva Galperin, dyrektorka cyberbezpieczeństwa w Electronic Frontier Foundation, którą o ataku poinformował Bloomberg.

W areszcie Graham County w Arizonie, wyposażonego w 17 kamer, zapisywane nagrania mają tytuły nadawane przez jego obsługę. Jedno z nagrań, z “obszaru wspólnego” zostało zatytułowane “ROUNDHOUSE KICK OOPSIE”. Video z “Tylnego bloku cel” nazywa się "SPRZEDAWCY OBWĄCHUJĄ/CAŁUJĄ WILLARDA???” Kolejne video, nagrane w “Zewnętrze pijackiego zbiornika” zatytułowano “AUTUMN UDERZA SIĘ WE WŁASNY ŁEB”. Dla nagrania z “tylnej celi” zostały zatytułowane “POJEDYNEK NA SPOJRZENIA - NIE MRUGAJ!” oraz “LANCASTER TRACI KOC”.

Grupa uzyskała także dostęp do kamer Verkada w biurach Cloudflare w San Francisco, Austin, Londynie i Nowym Jorku. Kamery w siedzibie głównej Cloudflare wykorzystywały rozpoznawanie twarzy, według obrazów przedstawionych Bloombergowi.

Kamery bezpieczeństwa i technologia rozpoznawania twarzy są często wykorzystywane w korporacyjnych biurach i fabrykach w celu obrony własności intelektualnej oraz strzeżenia się przed zagrożeniami wewnętrznymi, stwierdza Galperin z EFF.

“Jest wiele zasadnych powodów, aby mieć nadzór wewnątrz firmy” dodaje Galperin. “Jednak najważniejszą częścią jest mieć opartą na zrozumieniu problemu zgodę swoich pracowników. Zazwyczaj wykorzystuje się w tym celu podręcznik pracownika, którego nikt nie czyta”.