Lassan nemhogy egy hét, de pár nap is alig telik el, hogy ne érkezne beszámoló egy olyan újabb súlyos biztonsági incidensről, amelyben egyesült államokbeli cégek, állami intézmények sokaságát kompromittálták. A mostani eset annyiban azonban eltér a tavaly decemberben robbant SolarWinds-ügytől és a múlt héten észlelt Exchange-sérülékenységtől, hogy itt nem állami hátterű kémkedés volt a cél, hanem az, hogy rámutassanak a megfigyelési rendszerek használatának veszélyeire.

Kifigyelték a megfigyelőket

Az esetről elsőként a Bloomberg számolt be. A lapnak nem kellett hatalmas oknyomozó újságírást folytatnia, mivel az elkövetők egyike, egy svájci szoftverfejlesztő maga küldte el a szerkesztőségnek a bizonyítékként szolgáló felvételeket és nem publikus információkat tartalmazó fájlokat. Tillie Kottman ugyanakkor a társaival kapcsolatban nem bocsátkozott további részletekbe, de az akció célját világossá tette: meg szerették volna mutatni a világnak, hogy az emberek megfigyelése milyen széles körben zajlik, miközben a biztonsági szempontokra egyáltalán nem fektetnek elég hangsúlyt az ilyen rendszereket fejlesztők, használók.

Kottman állítása szerint hétfőn bejutottak a biztonsági kamerákat és megfigyelőeszközöket fejlesztő Verkada rendszerébe. Mindezt meglehetősen egyszerűen tették, mivel a cég egyik "szuperadminisztrátorának" belépési adatai kiszivárogtak az interneten. Innentől pedig gyakorlatilag bármit megtehettek. A Verkada saját használatú kamerái mellett az összes ügyfélnél telepített egységet is élőben követhették, sőt az archív állományokhoz és egyéb, például pénzügyi adatokhoz is hozzáférést kaptak. Egyes telepített kamerákat akár irányítani, forgatni is tudták, ha éppen ehhez volt kedvük. 

A 2016-ban alapított kaliforniai startup saját honlapján 5200 ügyféllel büszkélkedik. A Bloombergnek súgó Kottman több ezer céget, intézményt tartalmazó listát is küldött a biztonsági incidensnek kitett csoport nagyságát érzékeltetendő. Állítása szerint nagyjából 150 ezer kamera képét nézhették előben.

A hírek szerint a "nézhető műsorok" között volt a Tesla több telephelye (a riportok például egy kínai összeszerelő üzemben dolgozó munkásokat említenek), valamint a Cloudflare és a Virgin Hyperloop bizonyos irodái, egységei. Talán ennél is problémásabb, hogy a Verkada ügyfele több amerikai egészségügyi intézmény, rendőrségek illetve börtönök. A megszerzett azonosító birtokában például egy konkrét rendőrségi kihallgatást is végignézhettek a hekkerek (hanggal, 4K minőségben).

A Verdanánál egyébként észlelték a problémát és még a Bloomberg cikkének megjelenése előtt kizárták a nem kívánt nézelődőket a rendszerükből. A cég belső és külső szakértők bevonásával indított vizsgálatot és ügyfelei mellett értesítette a hatóságokat is.

Problémás téma, problémás cég

A Szilicium-völgyben berendezkedett Verkadához legutóbb tavaly januárban érkezett 80 millió dollárnyi friss tőke, ami a startupot 1,6 milliárd dollárra értékelte. Ebből is látszik, hogy fiatal kora ellenére, komoly hatású vállalatról van szó. És mivel ilyen érzékeny területen működnek, valóban nem mindegy, miként garantálják a távolról is lekérhető felvételek biztonságát.

Ráadásul nem ez volt az első eset, hogy a cég negatív tartalommal került az újságok címoldalára. Pár hónapja ugyanis kiderült, néhány munkatárs a cég kameráit és arcfelismerő technológiáját felhasználva mentett el felvételeket női munkatársakról, hogy aztán azokat tréfásnak szánt szexuális tartalmú megjegyzésekkel küldözgessék tovább. A vállalatvezetés természetesen elítélte a történteket és kirúgta az érintett dolgozókat.