十五万摄像头被黑，特斯拉工厂视频曝光，“闹着玩”的警示？ ​

“宇宙第一大厂” 特斯拉 这两天又上了几个热搜，除了车主坐车顶维权，还卷入了监控摄像头被入侵、工厂视频曝光的危机之中。

3 月 10 号，彭博社报道称有多名黑客入侵了硅谷安防系统初创公司 Verkada的数据库， 获得15万个摄像头的访问权限，包含特斯拉上海超级工厂和仓库中的222个摄像头。

10 号下午，特斯拉紧急回应，被入侵的摄像头并非来自上海超级工厂，而是河南省一处特斯拉供应商的生产现场，目前已停止摄像头联网。 不过，根据被公布的视频来看，不管是哪里的工厂，本属于工厂内的一切都清清楚楚地暴露出来。

当然，在这起事件中，特斯拉不是唯一受害者。和它一样的，还有 诊所、精神病院、公司、警察局、监狱、学校、健身房 等多个不同类型的组织机构。

Verkada 成立于 2016 年，主业是销售安全联网摄像头。除了监控功能，Verkada 摄像头还能利用先进的AI视觉技术，分辨出视频中的人脸和车辆，并对其进行检测和 人脸识别 。在安防摄像头领域，很多产品跟 Verkada 摄像头有着相同或相似的功能。

基于安防摄像头的这些功能，很多企业组织都会在办公室、工厂内部安装，或者在办公楼周边等公共环境安装，用于保护企业信息、防范威胁。但这恰恰也是风险所在。

自称为入侵者之一的蒂莉·科特曼（Tillie Kottmann）说，他们不仅能看到现场直播，还能获取 Verkada 所有客户存档的视频录像，并下载所有客户名单、资产负债表等敏感信息。 他们之所以入侵这些摄像头，主要是为了“好玩”； 主动曝光，也是为了向人们展示无处不在的监控以及毫不安全的安防摄像头。

根据 Verkada 的调查， 攻击者在 2021 年 3 月 7 日获得了摄像头的访问权限。 入侵的步骤看起来很常规：获取服务器的访问权限，获取凭证，绕过授权系统（绕过双因子身份验证），最终访问摄像头、获取客户名单，甚至可以在部分客户摄像头上执行Shell脚本命令。

而在入侵者的自述中，实现攻击更是简单：他们只是在网上发现了一个 公开（泄露）的超级管理员账户与密码，然后就可以访问 Verkada 内部网络了。 在彭博社的跟踪调查中，一名不愿透露身份的 Verkada 员工表示， 公司内部很多人都能随意使用超级管理员账号，其中一名 20 岁的实习生有数十万台摄像头的访问权限，能查看全球范围内摄像头的视频。此外，虽然使用超级管理员账户需要多因素验证，但很多用户可以轻易关闭验证，这也增加了被入侵的风险。

这个故事，怎么听怎么熟悉。过往的案例告诉我们，很多设备或平台（路由器、打印机、服务器等）被入侵，都是因为管理员账号密码泄露或权限滥用。这一次，依旧不例外。

在媒体公开报道之后，Verkada 禁用了所有内部管理员账户，切断了访问通道。 3 月 11 日，Verkada 发布声明确认遭遇入侵且表示已经 聘请 FireEye 旗下信息安全公司 Mandiant Solutions 和律师事务所 Perkins Coie 来协助调查，同时也 联系了 FBI 进行后续的处理工作。

摄像头遭遇入侵或者泄露用户隐私的事件，几乎天天都在发生，区别只是规模与影响范围。年初，刚曝光一起 摄像头厂商 ADT 员工利用内部偷窥用户的事件 ，最终员工受罚入狱，ADT则要赔偿用户、修复漏洞、升级产品。

很多时候，类似的事件都以厂商受罚、整改作结。教训尚在，却永远都有企业重蹈覆辙。有的是新入局还不没有足够的安全意识，有的则是因为一心向“qian”看，而忽视了对网络安全的投入。归根结底，都是用户在承担风险。

对于个人用户来说，在家用摄像头的选择和使用过程中，尚且有一定的自主权。 而路口、学校、公司等公共场合使用的摄像头，直接采集、使用公众的步态、人脸等数据，一旦因为安全等级低而泄露，对于个人隐私甚至国家层面的安全威胁更大。在这方面，相关标准和法律法规的建立与健全，更是刻不容缓。

关于 智能摄像头常见安全风险及安全使用指南 ，点击下图即可回顾。