Hackean la firma de vigilancia Verkada y acceden a 150.000 cámaras, afectando a hospitales y fábr...

Las cámaras con conexión a la nube pueden ser herramientas de vigilancia de uso legítimo, pero también un grave riesgo de seguridad esperando a ser explotado. Ya hemos sido testigos en ocasiones anteriores de firmwares plagados con puertas traseras y fácilmente secuestrables para lanzar ataques DDoS, así como conexiones erróneas a hogares que no eran los de los usuarios. Ahora, sabemos que la firma de vigilancia Verkada perdió el control sobre aproximadamente 150.000 de sus cámaras conectadas.

Según publica Bloomberg, atacantes no identificados lograron penetrar la seguridad de Verkada y acceder a las emisiones en vivo de cámaras dentro de clínicas de la mujer, hospitales psiquiátricos, comisarías, prisiones, escuelas e incluso las propias oficinas de Verkada. Algunas de estas cámaras, continúa la agencia de noticias, utilizan software de reconocimiento facial para identificar y categorizar individuos, con lo que ello podría suponer.

Más aún, los atacantes también tuvieron acceso a los archivos de vídeo completo de todos los clientes de Verkada.

Aunque Verkada aún no ha publicado una nota de prensa en su extranet, los hechos parecen incontestables. Bloomberg ha podido observar vídeos que nunca deberían ser hechos públicos, como una escena en la que un paciente de un hospital estadounidense era reducido por ocho trabajadores e inmovilizado en la cama, un interrogatorio policial y escenas de la fábrica de Tesla en Shanghái. De hecho, 222 cámaras del fabricante de vehículos eléctricos en factorías y almacenes fueron expuestas durante el ataque.

A pesar del enorme número de cámaras hackeadas, el ataque se desarrolló al parecer de la forma más primitiva que cabe imaginar; los responsables simplemente lograron acceder a una cuenta Super Admin cuyo nombre y contraseña estaban a la vista de todo el mundo en Internet.

De acuerdo con Bloomberg, el ataque no tenía fines maliciosos. Detrás del suceso se encuentra un colectivo internacional de hackers que buscaba demostrar tanto la extensión real de los sistemas de vigilancia en nuestras vidas cotidianas como su vulnerabilidad. Tillie Kottmann, uno de los hackers, describe sus motivaciones como "montones de curiosidad, luchar por la libertad de información y contra la propiedad privada, una gran dosis de anticapitalismo, una pizca de anarquismo... y que simplemente es demasiado divertido como para no hacerlo".

Por lo que respecta a Verkada, la compañía ha desactivado todas las cuentas internas de administrador mientras investiga el suceso.
Es lo que tiene que los sistemas de vigilancia con circuito cerrado ya no tengan tanto de circuito cerrado. Pero claro, a veces prima la comodidad sobre la seguridad y es muy goloso lo de poder acceder a tus cámaras desde cualquier dispositivo.
Es el peligro de estos sistemas, los hackeos pasarán cada cierto tiempo [+risas]
Aún recuerdo aquellas webcams que tambien sufrieron esto, aunque no la marca. Había un listado por ahí con los links. Te metías en casas y negocios ajenos. Penoso. Aún hoy funcionará alguna, por eso del desconocimiento de la gente.
Si compañías con cierto nombre ya tienen estos problemas, yo no me imagino qué pasa con las cámaras de 20 euros de aliexpress.... [mad]
Pronto empezaremos a ver pilladas en los hospitales .... [qmparto]
SirAzraelGrotesque escribió:a veces prima la comodidad sobre la seguridad y es muy goloso lo de poder acceder a tus cámaras desde cualquier dispositivo.


En principio no debería ser excluyente siempre y cuando tenga un sistema de cifrado y el stream vaya protegido por una clave.

La ezviz que tengo por ejemplo, si no sabes la clave no puedes ver el stream. Y tampoco puedes integrarla con otros sistemas salvo que desactives ese cifrado porque esa clave solo puedes usarla en la app para ver tus cámaras.

No pondría la mano en el fuego, pero entiendo que nadie que trabaje en ezviz podría ver el stream salvo que haya una puerta trasera no documentada.
Me lo imagino, USER: Admin. PASS: 1234.

Es que la de pasta que se gasta en estos negocios de ciber y acaba todo en manos de inútiles.
Me alegro de que no haya sido hecho por gente con malas intenciones, tan solo espero que con esto aprendan y refuercen bien la seguridad.

Aunque a sabiendas de que encontraron la contraseña sin mas y que no tuvieron que forzar nada, lo mismo la seguridad era buena, salvo por ese punto. [tomaaa]
Primero el Sepe y ahora esto...
Skynet cada día más cerca...
Entre esto, lo del SEPE y lo de OVH, vaya días que llevamos..
Siendo tan fácil crear un sistema de webcams, no entiendo porque confiar en una empresa externa. Evidente te lo pueden petar si quieren exclusivamente algo tuyo, pero no vas a caer con redadas generales como estas.
Sencillo, porque puede se sencillo para ti o para gente del foro, pero para el 99% de los mortales es como si les hablaras de física cuántica...
Menuda semanita, y esta madrugada, incendio en OVH Estrasburgo. Suerte que yo lo tengo todo el Roubaix (RBX) [mad]
Esos hakers que velan por nuestra seguridad
Es el peligro de querer tenerlo todo conectado.
Con el IoT cada vez irán saliendo más casos como éste... :(
francescfri escribió:Si compañías con cierto nombre ya tienen estos problemas, yo no me imagino qué pasa con las cámaras de 20 euros de aliexpress.... [mad]


Puedes tener una red interna de cámaras cerradas y acceder a ellas por IP remoto de forma privada.

Estas empresas gigantes de seguridad son imanes para los hackers.
Tengo una camara de vigilancia en casa, solo la conecto a la corriente y la destapo cuando me voy de casa más de un día.
Y la gente sigue comprando cámaras de vigilancia chinas para sus casas que se ven con el móvil de manera remota sin saber que todo el video pasa por servidores de dudosa seguridad ubicados en la otra punta del mundo.
logame escribió:Y la gente sigue comprando cámaras de vigilancia chinas para sus casas que se ven con el móvil de manera remota sin saber que todo el video pasa por servidores de dudosa seguridad ubicados en la otra punta del mundo.


El problema no es que las cámaras sean chinas, americanas o del chichinabo (de hecho, parece ser que las fabrican o diseñan ellos); el problema es que una empresa del sector de la seguridad no es capaz (o tal vez sí, pero se la han colado) de tener un mínimo de seguridad cuando está ofreciendo servicios a clientes para vigilancia y seguridad.

Pero dejando eso de lado es triste que las empresas inviertan en vigilancia para acceder remotamente (y cuando digo remotamente, no digo desde fuera de donde estén instaladas) a través de un tercero.

Y ese es el problema de muchos productos, y no necesariamente chinos, que se acceda a ellos a través de terceros.

Llámame loco, pero a mí no me cuadra.

Bueno, en este caso podríamos decir, "es que Verkada ofrece, además, un servicio de archivo de vigilancia y tal..."; bueno, vale, aceptamos barco como animal acuático, ofrece un servicio ligado a "su" infraestructura (quien sabe si no son servidores de Amazon, MS, OVH ( XD ) o vete a saber), pero qué menos que asegurarlo un poquito y, si no, ya saben para la próxima.

eQ9 escribió:"Simplemente es demasiado divertido como para no hacerlo".

Jamás vi razón más convincente.


No sé si lo dices con ironía, pero tal cual.

Hay demasiados dispositivos abiertos a Internet con contraseñas por defecto, o con exploits, y luego pasa lo que pasa, que la gente se divierte.
Todo lo que está en internet es inseguro...
Por eso nunca me fiaré de todo lo relacionado con cámaras de seguridad e Internet, solo falta que venga un listo a colarse en el servidor y ale. Los circuitos cerrados se inventaron por alguna razón.
24 respuestas