Kamery Verkada przejęte przez hakerów
Jak podał portal asmag.com – ponad 150 000 kamer Verkada zostało przejętych przez hakerów, którzy uzyskali dostęp do danych wizyjnych wielu klientów. Ten incydent pokazuje, że naruszenie zabezpieczeń IT SEC może przytrafić się każdemu – nawet tak popularnemu dostawcy rozwiązań monitoringu wideo w chmurze, jakim jest Verkada, firma zapewniająca, że bezpieczeństwo cybernetyczne jest jej priorytetem.
Na łamach aspolska.pl, jaki i w wydaniach naszego czasopisma opublikowaliśmy mnóstwo informacji dotyczących problemów związanych z bezpieczeństwem w monitoringu wideo. Informację o tym, że bezpieczeństwo 150 tys. urządzeń podłączonych do systemu Verkada zostało naruszone przekazała agencja prasowa Bloomberg. Jak czytamy w raporcie, osobom, które dokonały udanego ataku udało się uzyskać dostęp do prywatnych stron klientów Verkada, w tym szpitali, więzień i szkół oraz firm prywatnych, jak Tesla czy dostawca oprogramowania Cloudflare.
Raport Bloomberga jest dość szczegółowy i opisuje, do jakich dokładnie danych hakerzy uzyskali dostęp: podgląd wnętrz szpitala na Florydzie, podczas szarpaniny personelu z pacjentem, obraz wnętrza magazynu Tesli w Szanghaju w trakcie pracy pracowników przy linii montażowej. Hakerzy twierdzą, że uzyskali dostęp do 222 kamer w fabrykach i magazynach Tesli.
Według Bloomberga, włamanie zostało przeprowadzone przez „międzynarodowy kolektyw hakerów”, a głównym powodem ataku były „pokazanie wszechobecności dozoru wideo i łatwości, z jaką systemy mogą zostać złamane” oraz zwykła ciekawość.
Niepokojąca jest prostota, z jaką dokonano włamania. Według Bloomberga, hakerzy „uzyskali dostęp do Verkada poprzez konto Super Admin, co pozwoliło im zajrzeć do kamer wszystkich Klientów dostawcy usługi VSaaS.” Jedna z osób z „kolektywu”, która poinformowała Bloomberg o incydencie, zdradziła, że „znalazła dane logowania do konta administratora w plikach skompromitowanych par użytkowników i haseł znajdujących się w Internecie.”
Wczoraj (10 marca 2021 r.) Verkada na swoich stronach internetowych zamieściła informację o incydencie oraz o ograniczeniu dostępu do kont jednocześnie zapewniając, że traktują bezpieczeństwo swoich produktów i użytkowników bardzo poważnie. Dzisiaj – 11 marca 2021 r. – przedstawiciele Verkada podali do szerszej wiadomości informację o wektorze ataku i danych, które zostały pozyskane przez osoby trzecie:
„Celem ataku był serwer Jenkins używany przez nasz zespół wsparcia technicznego do wykonywania masowych operacji konserwacyjnych na kamerach klientów, takich jak dostosowywanie ustawień obrazu z kamer na życzenie klienta. Uważamy, że napastnicy uzyskali dostęp do tego serwera w dniu 7 marca 2021 r. i utrzymali go do około południa czasu PST w dniu 9 marca 2021 r. Uzyskując dostęp do serwera, napastnicy uzyskali dane uwierzytelniające, które pozwoliły im ominąć nasz system autoryzacji, w tym uwierzytelnianie dwuskładnikowe. [..] Na chwilę obecną potwierdziliśmy, że napastnicy uzyskali następujące dane:
• Dane wideo i obrazy z ograniczonej liczby kamer z podzbioru organizacji klienckich
• Listę administratorów kont naszych klientów, w tym nazwiska i adresy e-mail. Lista ta nie zawierała haseł ani skrótów haseł.
• Lista zamówień sprzedaży firmy Verkada. Informacje o zamówieniach sprzedaży są wykorzystywane przez nasz system Command do utrzymania stanu licencji naszych klientów. Informacje te zostały uzyskane z naszego systemu Command, a nie z innych systemów biznesowych Verkada.”
Co przerażające przedstawiciele Verkady potwierdzili, „że napastnicy uzyskali dostęp do narzędzia, które pozwalało na wykonywanie poleceń na podzbiorze kamer klientów”. Dostęp do tej warstwy bowiem oznacza, że istnieje możliwość wstrzyknięcia ukrytego oprogramowania do urządzeń brzegowych, które aktywuje się w określnym czasie w celu wykonania np. ataku DDoS.
Incydent wygląda nieciekawie także z perspektywy biznesowej. Verkada pozornie szczyci się cyberbezpieczeństwem. W dokumencie „zasad bezpieczeństwa” firmy Verkada czytamy: „Zaangażowani w cyberbezpieczeństwo – W Verkada wiemy, że utrzymanie Twoich danych w tajemnicy i bezpieczeństwie ma kluczowe znaczenie. Poświęcamy się tworzeniu bezkonkurencyjnie bezpiecznego, nowoczesnego rozwiązania do nadzoru”, a następnie wyjaśniamy środki bezpieczeństwa cybernetycznego, jakie zostały podjęte.
Verkada jest dostawcą rozwiązań bezpieczeństwa opartych na chmurze z siedzibą w San Mateo w Kalifornii. Pojawiła się jako jedna z najszybciej rozwijających się firm z branży zabezpieczeń. Według Business Journal wycena firmy skoczyła do 1,6 miliarda dolarów na początku ubiegłego roku.
Chmura rzeczywiście zyskuje na popularności w monitoringu wizyjnym ze względu na fakt, że użytkownicy nie muszą kupować sprzętu, takiego jak rejestratory NVR czy serwery. Panuje przekonanie, że monitoring wideo w chmurze jest bardziej cyberbezpieczny, ponieważ kwestiami bezpieczeństwa zajmuje się dostawca VSaaS.
Jednak, jak pokazuje przykład Verkady, chmura nie zawsze jest bezpieczniejsza. W rzeczywistości, jak powiedział Yang Chao-chien z Trend Micro podczas ostatniego wydarzenia zorganizowanego przez Info Security, korzystanie z usług w chmurze nadal wiąże się z pewnym ryzykiem, ponieważ hakerzy nadal są w stanie znaleźć luki na poziomie systemu, aplikacji i sieci.
Dlatego to na dostawcy VSaaS spoczywa obowiązek podjęcia wszelkich środków ostrożności w celu zabezpieczenia swojej oferty, aby nie narazić się na takie upokorzenie, jakie tym razem spotkało Verkadę. Nie wiadomo jeszcze, jak finalnie wpłynie na dostawcę VSaaS ten incydent. Możemy się spodziewać, że odbudowa reputacji zajmie Verkadzie trochę czasu.
Czytaj też:
https://cert.orange.pl/aktualnosci/400-gbps-przebite-mamy-rekordowy-ddos
https://www.verkada.com/security-update/
https://www.asmag.com/showpost/32192.aspx?utm_source=weekly_sib&utm_medium=article_1&utm_campaign=20210311w
https://www.bloomberg.com/news/articles/2021-03-09/hackers-expose-tesla-jails-in-breach-of-150-000-security-cams
https://www.verkada.com/docs/verkada-cybersecurity-principles.pdf