Zgodnie z nowymi raportami, pracownicy firmy Verkada, działającej w chmurze, mieli szeroki dostęp do materiałów z kamer klientów. Bloomberg i Washington Post.
Systemy Verkady zostały ostatnio naruszone przez kolektyw „haktywistów”, który uzyskał dostęp do ponad 150 000 kamer firmy w różnych lokalizacjach, od fabryk Tesli, po komisariaty policji, sale gimnastyczne, szkoły, więzienia i szpitale. Grupa, która nazywa siebie Advanced Persistent Threat 69420, natknęła się na poświadczenia logowania do kont „Super Admin” firmy Verkada w Internecie. Opublikowali swoje ustalenia, powiedzenie motywowano ich „dużą ciekawością, walką o wolność informacji i przeciwko własności intelektualnej, ogromną dawką antykapitalizmu, nutą anarchizmu – i po prostu zbyt fajnie jest tego nie robić”.
Teraz anonimowi pracownicy Verkady twierdzą, że te same konta „superadministratora”, do których uzyskali dostęp hakerzy, były również szeroko rozpowszechnione w samej firmie. Ponad 100 pracowników miało uprawnienia superadministratora, raporty Bloomberg, co oznacza, że osoby te mogą w dowolnym momencie przeglądać transmisje na żywo z dziesiątek tysięcy kamer na całym świecie. „Dosłownie mieliśmy 20-letnich stażystów, którzy mieli dostęp do ponad 100 000 kamer i mogli oglądać wszystkie swoje kanały na całym świecie” – powiedział w publikacji jeden z byłych pracowników wyższego szczebla.
W międzyczasie Verkada twierdzi, że dostęp był ograniczony do pracowników, którzy musieli rozwiązywać problemy techniczne lub odpowiadać na skargi użytkowników. „Zarówno program szkoleniowy firmy Verkada, jak i zasady dotyczące pracowników są jasne, że pracownicy wsparcia byli i są zobowiązani do uzyskania wyraźnej zgody klienta przed uzyskaniem dostępu do kanału wideo tego klienta” – powiedziała firma z Doliny Krzemowej w oświadczeniu złożonym Bloomberg.
Washington Postcytuje jednak zeznania badacza nadzoru Charlesa Rolleta, który mówi, że osoby dobrze znające firmę powiedziały mu, że pracownicy Verkady mogą uzyskać dostęp do kanałów bez wiedzy klientów. „Ludzie nie zdają sobie sprawy z tego, co dzieje się na zapleczu i zakładają, że zawsze istnieją te nadformalne procesy, jeśli chodzi o dostęp do materiału filmowego i że firma zawsze będzie musiała wyrazić wyraźną zgodę” – powiedział Rollet. Ale najwyraźniej nie zawsze tak jest ”.
Powiedział inny były pracownik Bloomberg że chociaż wewnętrzne systemy Verkady poprosiły pracowników o wyjaśnienie, dlaczego uzyskują dostęp do kamery klienta, ta dokumentacja nie została potraktowana poważnie. „Nikt nie przejmował się sprawdzaniem logów” – powiedział pracownik. „Możesz umieścić w tej notatce wszystko, co chcesz; możesz nawet wpisać pojedynczą spację ”.
Kamery firmy Verkada działające w chmurze były sprzedawane klientom częściowo dzięki oprogramowaniu analitycznemu. Jedna z funkcji o nazwie „People Analytics” umożliwia klientom „wyszukiwanie i filtrowanie na podstawie wielu różnych atrybutów, w tym cech płciowych, koloru ubioru, a nawet twarzy” – powiedziała Verkada w ankiecie post na blogu. Ich systemy oparte na chmurze, które zapewniały klientom łatwy dostęp do transmisji z ich kamer, również umożliwiły naruszenie.
Kolektyw hakerski Advanced Persistent Threat 69420 (nazwa jest ukłonem w stronę taksonomii używanej przez firmy zajmujące się cyberbezpieczeństwem do katalogowania sponsorowanych przez państwo hakerów w połączeniu z memami o numerach 69 i 420) twierdzi, że chciał poinformować opinię publiczną o niebezpieczeństwach związanych z taką wszechobecną inwigilacją. Naruszenie „ujawnia, jak szeroko jesteśmy badani i jak mało uwagi poświęca się przynajmniej zabezpieczaniu platform, które to robią, dążąc jedynie do zysku” – powiedział jeden z członków grupy Bloomberg. „To po prostu szalone, jak mogę po prostu zobaczyć rzeczy, o których zawsze wiedzieliśmy, że się dzieją, ale nigdy nie mogliśmy zobaczyć”.