Хакеры подорвали репутацию стартапа из Кремниевой Долины, взломав тысячи камер в школах, больницах и даже на заводе Tesla
От местоположения человека до данных его банковских карт — хакерам в наше время доступна практически любая информация. Неприкосновенность частной жизни осталась в доцифровой эпохе — уже пять лет назад ненадёжность технологий ярко продемонстрировало фото главы Facebook Марка Цукерберга с ноутбуком, камера и микрофон которого были заклеены плотным белым скотчем. «Эти две вещи легче всего взломать», — объяснила тогда The Guardian. Теперь, пять лет спустя, опасность только выросла — как и количество устройств, которые можно «хакнуть».
10 марта группа хакеров заявила, что получила доступ к 150 000 камер стартапа Verkada из Кремниевой Долины, расположенным в больницах, крупных компаниях, полицейских участках, тюрьмах и школах.
Verkada, основанная в 2016 году, продает клиентам камеры видеонаблюдения с возможностью подключения и управления ими через Интернет. В январе 2020 года компания привлекла 80 миллионов долларов венчурного капитала, оценив стартап в 1,6 миллиарда. В числе инвесторов была Sequoia Capital, одна из старейших компаний Кремниевой Долины.
Но успешный бизнес рухнул от пары компьютерных кликов после того, как хакеры покусились на крупнейшие фирмы, где были установлены камеры Verkada.
По сообщению Bloomberg, незваные гости дистанционно проникли на производство электрокаров Tesla и в офис Cloudflare — американской компании, предоставляющей услуги CDN, защиту от DDoS-атак, безопасный доступ к ресурсам и серверы DNS. Кроме того, взломщики просматривали видео из женских клиник, психиатрических больниц и офисов самой Verkada. Они также заявили, что у них есть доступ к полному видеоархиву всех клиентов стартапа.
В больницах проблема усугубилась тем, что многие из них используют технологию распознавания лиц People Analytics — одной из жертв взлома стала Halifax Health во Флориде. Впрочем, несмотря на то что госпиталь использует подобную технологию, его представитель заверил Bloomberg, что ситуация под контролем, и личные данные пациентов не попадут в руки третьих лиц.
Согласно сайту Verkada, People Analytics позволяет их клиентам определять и отфильтровывать множество различных характеристик, включая гендерные особенности, цвет одежды и даже черты лица. Bloomberg и The Wall Street Journal получили в своё распоряжение кадры из тюрьмы, где использовалась эта технология. Изображения дают понять, что множество камер было скрыто внутри вентиляционных отверстий, термостатов и в других местах для того, чтобы скрытно следить за заключенными и персоналом исправительного учреждения. Репортер Корнин Гретлер в своем Twitter назвал такое подглядывание «неэтичным», но в этом, собственно, и заключалась цель хакеров: продемонстрировать правду о скрытом наблюдении, о компаниях, которые создают у себя системы слежки, и о тех, кто разрабатывает устройства для этого.
Тилли Коттманн, 21-летний хакер, взявший на себя ответственность за происходящее, рассказал Bloomberg, что взлом был осуществлен международной хакерской группировкой и призван продемонстрировать повсеместность видеонаблюдения и простоту взлома таких систем. Он сказал, что причиной действий группировки стали любопытство, борьба за свободу информации и против интеллектуальной собственности, признав, что во всем этом есть огромная доза антикапитализма и намёк на анархизм. Кроме того, Тилли считает, что взломы — слишком веселое дело, чтобы этого не заниматься.
Ранее Коттман уже брал на себя ответственность за слив огромного массива секретных документов и исходного кода чипов Intel, а также за взлом цифровой базы данных Nissan. 12 марта в СМИ появились сообщения, что швейцарские власти отследили местоположение Коттмана и провели масштабный рейд, конфисковав все его электронные устройства. Скорее всего, рейд был связан в основном именно со сливом данных Intel, а взлом камер Verkada стал финальным эпизодом в международном полицейском расследовании.
То ли потому, что Коттман действительно одумался, то ли швейцарцы пригрозили ему тюрьмой, но на следующий день после рейда хакер написал в своих социальных сетях: «Не говорите со мной ни о какой незаконной деятельности или преступлениях. Я не планирую идти против закона в ближайшее время».
Сразу после взлома стартап Verkada опубликовал официальное заявление: «Мы отключили все учетные записи внутренних администраторов, чтобы предотвратить любой несанкционированный доступ. Наша группа внутренней безопасности и внешняя охранная фирма изучают масштаб проблемы, и мы уведомили о ней правоохранительные органы».
Вслед за производителем камер последовали заявления от его пострадавших клиентов.
«Сегодня днем нас предупредили, что система видеонаблюдения Verkada, которая отслеживает основные точки входа в здания нескольких офисов Cloudflare, могла быть взломана, — сказано в заявлении компании. — Камеры были расположены в офисах, официально закрытых в течение нескольких месяцев». Cloudflare заверила, что отключила камеры от сетей.
Самый большой шум вызвало видео со склада Tesla в Шанхае — оно было загружено в интернет хакерами, но почти сразу удалено правоохранительными органами. Взломщики заявили, что получили доступ к 222 камерам на заводах и складах Tesla, но автопроизводитель заявил, что не обеспокоен этим фактом. «Исходя из нашего текущего понимания, взломанные камеры установлены только у одного из наших поставщиков, но он не поставляет товары напрямую на наши заводы и сервисные центры, — сообщил представитель Илона Маска. — Что касается камер на производстве в Шанхае и других местах — все данные этих камер хранятся исключительно на локальных серверах и не представляют угрозу раскрытия важных данных при взломе».
Тюрьмы, больницы и школы не делали официальных заявлений и не ответили на запросы американских журналистов о предоставлении комментариев. Лишь один полицейский участок, где хакеры получили доступ к камерам, установленным в комнатах допроса, пошёл на контакт: служащий там сержант Эндрю Джонсон подтвердил The Wall Street Journal, что департамент использует камеры Verkada.
Итак, хакеры достигли цели, которую ставили перед собой: они показали повсеместность наблюдения, а главное — уязвимость системы Verkada.
Коттман заявил, что им удалось получить полный доступ к прямой трансляции и архиву видео со звуком (включая некоторые секретные допросы подозреваемых полицейскими) в высоком разрешении. По его словам, для этого не потребовалось дополнительного вмешательства, поскольку в систему встроена функция, благодаря которой каждый может получить любой уровень доступа.
Аналитик в области информационной безопасности Владимир Шилин работал в прошлом с тремя российскими банками, а сейчас ведёт собственный проект в Латвии. По его словам, опасность заключается в том, что взломщики теперь могут подключиться к ещё более широкой сети клиентов Verkada. «Они ведь могли перепрограммировать видеоустройства, и не исключено, что захваченные камеры будут использованы как платформа для будущих хакерских атак».
Методы хакеров были бесхитростными: они получили доступ к Verkada через учетную запись супервайзера, что позволило им видеть картинку с камер всех клиентов компании, комментирует Шилин. «Verkada не просто так попала хакерам под горячую руку. У стартапа изначально была очень слабая и плохо продуманная защита. Система должна быть выстроена так, чтобы получить доступ сразу к стольким камерам со всем возможным функционалом было гораздо сложнее».
Насчет слабой системы безопасности Шилин прав: Коттманн заявил, что хакеры просто нашли имя пользователя и пароль для учетной записи администратора на публичном сайте в Интернете. В результате им даже удалось выгрузить к себе полный список клиентов Verkada, а также бухгалтерский баланс компании с перечислением всех активов и обязательств. Для закрытой компании, которая не публикует свою финансовую отчетность, это серьезный удар.
На сегодня ситуацию можно считать отчасти исправленной: Verkada сообщила Bloomberg, что хакеры потеряли доступ к видеопотокам и архивам на следующий день после сообщения о взломе. Однако вопрос The Washington Post о том, может ли подобное случиться вновь, пока остаётся без ответа.
У стартапа, кстати, уже есть за плечами история, когда сами сотрудники несанкционированно использовали камеры. В октябре 2020 года компания уволила трех работников после того, как стало известно, что они пытались сделать снимки прямой трансляции из помещений, где находились их коллеги-женщины. Генеральный директор Verkada Филип Калисзан заявил тогда прессе: «Уволены три человека, которые спровоцировали этот инцидент и продемонстрировали недопустимое поведение в отношении коллег женского пола». Так что последние события — еще одна, уже не первая, причина для компании задуматься о безопасности своих камер.
«Этот случай — большой урок, как для публики, так и для корпораций, — считает Владимир Шилин. — Он демонстрирует, во-первых, насколько широко ведется наблюдение за нами, а во-вторых — как мало при этом уделяется внимания защите используемых платформ. Когда существуют хакеры, которым удаётся взламывать чуть ли не Пентагон, подходить столь небрежно к защите своей системы было со стороны Verkada просто безответственно».
Что говорить, если сам Коттман был удивлен тому, с какой легкостью его группе удался скандальный взлом: «Это просто дико, что мы смогли без особых усилий увидеть всё, что так тщательно стараются хранить в секрете».