系統被黑致使客戶攝像頭遭未授權訪問,美國安防公司被罰超2000萬元
責編:gltian |2024-09-04 14:34:58美國加州安防公司Verkada已同意支付295萬美元(約合人民幣2099萬元)的民事罰款,并將實施一項全面的安全計劃。此前2021年,黑客從該公司15萬臺聯網的安全攝像頭中竊取了視頻,其中一些攝像頭安裝在精神病醫院和婦女健康診所。
美國聯邦貿易委員會(FTC)對Verkada提起的訴訟指出,該公司未能采取適當的信息安全措施,以保護通過其安全攝像頭收集的客戶和消費者的個人信息。
除了數百萬美元的財務罰款外,Verkada和FTC達成的同意令還要求公司實施全面的安全計劃,并在未來20年內每年向FTC提交風險評估報告。這項同意令尚需聯邦法官批準。
同意令還解決了Verkada涉嫌違反聯邦反垃圾郵件法規的指控。該公司通過大量商業電子郵件向潛在客戶發送廣告,但未提供退訂或退出選項。FTC表示,公司未能尊重客戶的退訂請求,也未在郵件中提供實體郵寄地址。
安全措施存漏洞致使客戶攝像頭被黑客訪問
Verkada的主要產品是支持IP網絡的安全攝像頭,這些攝像頭通過亞馬遜云服務(AWS)的云端存儲客戶數據并保存視頻檔案。FTC指出,從2019年至2021年,該公司共銷售了超過24萬臺安全攝像頭。
據稱,Verkada的安全措施存在漏洞,未能要求使用唯一且復雜的密碼,未能充分加密客戶數據,且未能實施安全的網絡控制。因此,在2020年12月至2021年3月期間,Verkada至少發生了兩次安全入侵事件。
2021年3月,一名黑客從超過15萬臺聯網的Verkada攝像頭中獲取了視頻錄像及其他客戶信息,如物理地址、音頻記錄和客戶的Wi-Fi憑據。
FTC表示:“入侵者訪問了超過15萬臺實時監控的客戶攝像頭,觀看了精神病醫院的病人(包括躺在病床上的病人)、婦女健康診所、在房間內玩耍的小孩和被監禁者在牢房內的畫面等。”
FTC還指出,2020年12月,一名黑客利用了舊版固件構建服務器中的安全漏洞,而這一漏洞的出現是因為一名員工未能恢復服務器的原始安全設置所致。“黑客在服務器上安裝了Mirai僵尸網絡軟件,并進行惡意活動,包括將服務器武器化,對其他第三方互聯網地址發起拒絕服務攻擊。Verkada在AWS安全部門標記出這些活動兩周多后,才意識到服務器已被入侵。”
FTC表示安防攝像頭收集的數據存在用戶敏感信息
Verkada在8月30日發表的聲明中表示,公司不同意FTC的指控,但接受了和解條款,“以便我們能夠繼續推進使命,并專注于保護人們和場所的隱私。”
聲明中還寫道:“我們將繼續優先加強Verkada的數據安全態勢。”
FTC在訴狀中表示,Verkada收集并維護了各種客戶信息,包括姓名、物理地址、客戶用戶名和密碼哈希值、客戶站點平面圖以及客戶的Wi-Fi憑據。
FTC還指出,Verkada安全攝像頭收集的視頻錄像“可能包括消費者影像,以及其他敏感的消費者個人信息,例如可見的醫療記錄。”
FTC表示:“許多此類消費者的影像本質上具有敏感性,因為一個人在特定地點的出現必然會揭示其個人信息。例如,某個消費者出現在精神病醫院的畫面直接說明該消費者正在尋求心理健康服務。”
除了實時監控功能外,Verkada的安全攝像頭還具備“人物分析”功能,允許客戶查看所有被其安全攝像頭錄制或上傳到公司Command平臺的消費者高清圖像。用戶可以通過性別或衣服顏色篩選圖像,并通過面部識別或臉部匹配技術搜索圖像。
FTC以5比0的投票結果支持了前述同意令。
參考資料:https://www.govinfosecurity.com/verkada-agrees-to-295m-civil-penalty-after-hacks-a-26179