Verkada, startup zajmujący się bezpieczeństwem w Dolinie Krzemowej, który świadczy usługi w zakresie kamer bezpieczeństwa w chmurze, doznał poważnego naruszenia bezpieczeństwa. Hakerzy uzyskali dostęp do ponad 150000 kamer firmy, w tym kamer w fabrykach i magazynach Tesli, biurach Cloudflare, siłowniach Equinox, szpitalach, więzieniach, szkołach, komisariatach i biurach Verkady, Bloomberg raporty.
Według Tillie Kottmann, jednego z członków międzynarodowego kolektywu hakerskiego, który włamał się do systemu, włamanie miało pokazać, jak powszechne są kamery bezpieczeństwa firmy i jak łatwo można je zhakować. Oprócz transmisji na żywo grupa twierdziła również, że miała dostęp do pełnego archiwum wideo wszystkich klientów Verkady.
W oświadczeniu do Bloomberg, przedstawiciel Verkady skomentował: „Wyłączyliśmy wszystkie wewnętrzne konta administratorów, aby zapobiec nieautoryzowanemu dostępowi. Nasz wewnętrzny zespół ds. Bezpieczeństwa i zewnętrzna firma zajmująca się bezpieczeństwem badają skalę i zakres tego potencjalnego problemu ”. Następujący BloombergNa prośbę Verkady grupa utraciła dostęp zarówno do kanałów na żywo, jak i archiwów firmy.
Hack był najwyraźniej stosunkowo prosty: grupie udało się uzyskać dostęp do systemu Verkady na poziomie „superadministratora” przy użyciu nazwy użytkownika i hasła, które znaleźli publicznie w Internecie. Stamtąd mogli uzyskać dostęp do całej sieci firmy, w tym dostępu root do samych kamer, co z kolei umożliwiło grupie dostęp do sieci wewnętrznych niektórych klientów Verkady.
Verkada szczyci się oferowaniem kamer monitorujących podłączonych do Internetu, obiecując „podejście oparte na oprogramowaniu” w Dolinie Krzemowej, aby zapewnić bezpieczeństwo „tak płynne i nowoczesne, jak chronione przez nas organizacje”. Kamery połączone z chmurą są wyposażone w zgrabny interfejs internetowy, umożliwiający firmom monitorowanie kanałów i oferowanie (opcjonalnie) oprogramowania do rozpoznawania twarzy.
Firma również znalazła się w przeszłości pod ostrzałem oskarżenia o seksizm i dyskryminację po incydencie w 2019 roku, w którym dyrektor sprzedaży wykorzystał kamery bezpieczeństwa firmy Verkada do nękania współpracownic, potajemnie fotografując i publikując ich zdjęcia na firmowym kanale Slack. W odpowiedzi dyrektor generalny Verkady zaoferował członkom kanału Slack wybór między odejściem z firmy a obniżeniem opcji na akcje.
Lista klientów korzystających z Verkady jest szeroka: oprócz firm takich jak Tesla i Cloudflare, grupa uzyskała dostęp do kamer Verkada w Halifax Health, szpitalu na Florydzie; Sandy Hook Elementary School w Newtown, Connecticut; Więzienie hrabstwa Madison w Huntsville w stanie Alabama; i Wadley Regional Medical Center, szpital w Texarkana w Teksasie. Oprócz nagrania z kamery grupa twierdzi również, że była w stanie uzyskać dostęp do pełnej listy tysięcy klientów Verkady oraz jej prywatnych informacji finansowych.