Một nhóm tin tặc xâm nhập kho dữ liệu của startup Verkada và xem được hình ảnh của 150.000 camera giám sát bên trong bệnh viện, doanh nghiệp, phòng cảnh sát, nhà tù, trường học.
Các công ty bị lộ hình ảnh camera an ninh bao gồm nhà sản xuất xe điện Tesla, nhà cung cấp phần mềm Cloudfare. Ngoài ra, hacker còn xem được video từ các cơ sở y tế phụ nữ, bệnh viện tâm thần và thậm chí cả văn phòng của Verkada. Một số camera dùng công nghệ nhận diện gương mặt để nhận diện và phân loại người trong video. Hacker còn xâm nhập được thư viện lưu trữ tất cả video khách hàng Verkada.
Một video mà hãng tin Bloomberg xem được chiếu cảnh nhà kho của Tesla tại Thượng Hải, nơi các công nhân đang làm việc trên dây chuyền lắp ráp. Hacker cho biết đã chiếm quyền truy cập 222 camera tại nhà máy và nhà kho Tesla.
Theo Tillie Kottmann, một trong các hacker nhận trách nhiệm trong vụ tấn công Verkada, vụ việc do một nhóm hacker quốc tế cùng làm nhằm chứng minh sự phổ biến của giám sát video và khả năng đột nhập hệ thống dễ dàng. Trước đây, Kottmann cũng tấn công nhà sản xuất chip Intel và nhà sản xuất xe hơi Nissan.
Phát ngôn viên Verkada cho biết đã vô hiệu hóa tất cả tài khoản quản trị viên nội bộ để ngăn chặn truy cập bất hợp pháp về sau. Công ty đang điều tra quy mô sự cố và thông báo cho nhà chức trách cũng như khách hàng, thiết lập đường dây nóng để trả lời các câu hỏi.
Hacker còn xâm nhập 330 camera an ninh bên trong nhà tù hạt Madison tại Huntsville, Alabama. Verkada cung cấp tính năng “People Analytics”, cho phép khách hàng “tìm và lọc dựa trên nhiều thuộc tính, bao gồm giới tính, màu sắc quần áo, gương mặt”. Hacker lưu trữ một số video có âm thanh, hình ảnh cuộc phỏng vấn giữa cảnh sát và nghi phạm, tất cả đều ở định dạng 4K.
Kottmann cho biết nhóm chiếm quyền truy cập “root” camera, đồng nghĩa có thể dùng camera để thực thi lệnh từ xa. Trong một số trường hợp, nó dẫn tới truy cập mạng lưới khách hàng rộng lớn của Verkada hay tấn công camera và dùng chúng làm nền tảng cho các cuộc tấn công trong tương lai. Một điều bất ngờ là không cần đến kỹ thuật tấn công tinh vi nào.
Kottmann tiết lộ họ tìm thấy một tài khoản Super Admin của Verkada bị lộ trên Internet và dùng nó để thực hiện vụ xâm nhập vào sáng thứ Hai (8/3).
Verkada thành lập năm 2016, bán camera an ninh để khách hàng truy cập và quản lý qua web. Tháng 1/2020, startup này huy động được 80 triệu USD vốn đầu tư, nâng định giá lên 1,6 tỷ USD. Tháng 10/2020, họ đuổi việc 3 nhân viên sau khi nhận báo cáo về việc sử dụng camera để chụp lén ảnh đồng nghiệp nữ tại văn phòng Verkada và trêu chọc nhau.
Nhóm hacker đã tải về danh sách toàn bộ khách hàng Verkada cũng như bảng tài chính của công ty. Là một công ty tư nhân, Verkada không công bố báo cáo tài chính.
Du Lam (Theo Bloomberg)