系統(tǒng)被黑致使客戶攝像頭遭未授權(quán)訪問,美國安防公司被罰超2000萬元
責(zé)編:gltian |2024-09-04 14:34:58美國加州安防公司Verkada已同意支付295萬美元(約合人民幣2099萬元)的民事罰款,并將實施一項全面的安全計劃。此前2021年,黑客從該公司15萬臺聯(lián)網(wǎng)的安全攝像頭中竊取了視頻,其中一些攝像頭安裝在精神病醫(yī)院和婦女健康診所。
美國聯(lián)邦貿(mào)易委員會(FTC)對Verkada提起的訴訟指出,該公司未能采取適當(dāng)?shù)男畔踩胧员Wo(hù)通過其安全攝像頭收集的客戶和消費者的個人信息。
除了數(shù)百萬美元的財務(wù)罰款外,Verkada和FTC達(dá)成的同意令還要求公司實施全面的安全計劃,并在未來20年內(nèi)每年向FTC提交風(fēng)險評估報告。這項同意令尚需聯(lián)邦法官批準(zhǔn)。
同意令還解決了Verkada涉嫌違反聯(lián)邦反垃圾郵件法規(guī)的指控。該公司通過大量商業(yè)電子郵件向潛在客戶發(fā)送廣告,但未提供退訂或退出選項。FTC表示,公司未能尊重客戶的退訂請求,也未在郵件中提供實體郵寄地址。
安全措施存漏洞致使客戶攝像頭被黑客訪問
Verkada的主要產(chǎn)品是支持IP網(wǎng)絡(luò)的安全攝像頭,這些攝像頭通過亞馬遜云服務(wù)(AWS)的云端存儲客戶數(shù)據(jù)并保存視頻檔案。FTC指出,從2019年至2021年,該公司共銷售了超過24萬臺安全攝像頭。
據(jù)稱,Verkada的安全措施存在漏洞,未能要求使用唯一且復(fù)雜的密碼,未能充分加密客戶數(shù)據(jù),且未能實施安全的網(wǎng)絡(luò)控制。因此,在2020年12月至2021年3月期間,Verkada至少發(fā)生了兩次安全入侵事件。
2021年3月,一名黑客從超過15萬臺聯(lián)網(wǎng)的Verkada攝像頭中獲取了視頻錄像及其他客戶信息,如物理地址、音頻記錄和客戶的Wi-Fi憑據(jù)。
FTC表示:“入侵者訪問了超過15萬臺實時監(jiān)控的客戶攝像頭,觀看了精神病醫(yī)院的病人(包括躺在病床上的病人)、婦女健康診所、在房間內(nèi)玩耍的小孩和被監(jiān)禁者在牢房內(nèi)的畫面等。”
FTC還指出,2020年12月,一名黑客利用了舊版固件構(gòu)建服務(wù)器中的安全漏洞,而這一漏洞的出現(xiàn)是因為一名員工未能恢復(fù)服務(wù)器的原始安全設(shè)置所致。“黑客在服務(wù)器上安裝了Mirai僵尸網(wǎng)絡(luò)軟件,并進(jìn)行惡意活動,包括將服務(wù)器武器化,對其他第三方互聯(lián)網(wǎng)地址發(fā)起拒絕服務(wù)攻擊。Verkada在AWS安全部門標(biāo)記出這些活動兩周多后,才意識到服務(wù)器已被入侵。”
FTC表示安防攝像頭收集的數(shù)據(jù)存在用戶敏感信息
Verkada在8月30日發(fā)表的聲明中表示,公司不同意FTC的指控,但接受了和解條款,“以便我們能夠繼續(xù)推進(jìn)使命,并專注于保護(hù)人們和場所的隱私。”
聲明中還寫道:“我們將繼續(xù)優(yōu)先加強Verkada的數(shù)據(jù)安全態(tài)勢。”
FTC在訴狀中表示,Verkada收集并維護(hù)了各種客戶信息,包括姓名、物理地址、客戶用戶名和密碼哈希值、客戶站點平面圖以及客戶的Wi-Fi憑據(jù)。
FTC還指出,Verkada安全攝像頭收集的視頻錄像“可能包括消費者影像,以及其他敏感的消費者個人信息,例如可見的醫(yī)療記錄。”
FTC表示:“許多此類消費者的影像本質(zhì)上具有敏感性,因為一個人在特定地點的出現(xiàn)必然會揭示其個人信息。例如,某個消費者出現(xiàn)在精神病醫(yī)院的畫面直接說明該消費者正在尋求心理健康服務(wù)。”
除了實時監(jiān)控功能外,Verkada的安全攝像頭還具備“人物分析”功能,允許客戶查看所有被其安全攝像頭錄制或上傳到公司Command平臺的消費者高清圖像。用戶可以通過性別或衣服顏色篩選圖像,并通過面部識別或臉部匹配技術(shù)搜索圖像。
FTC以5比0的投票結(jié)果支持了前述同意令。
參考資料:https://www.govinfosecurity.com/verkada-agrees-to-295m-civil-penalty-after-hacks-a-26179
聲明:本文來自安全內(nèi)參,稿件和圖片版權(quán)均歸原作者所有。所涉觀點不代表東方安全立場,轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán),請聯(lián)系rhliu@skdlabs.com,我們將及時按原作者或權(quán)利人的意愿予以更正。
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運維!全新FortiAIOps 3.0重新定義IT運營
- MirageFlow:一種針對Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢展望
- 國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家信息化發(fā)展報告(2024年)》
- 火狐中國終止運營:辦公地?zé)o人,用戶賬號數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評估標(biāo)準(zhǔn)化應(yīng)用實踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時代!