Peretas Membobol Ribuan Kamera Keamanan, Mengekspos Tesla, Penjara, Rumah Sakit

Ringkasan

Peretas memperoleh akses ke umpan langsung dari 150.000 kamera pengintai di dalam rumah sakit, perusahaan, departemen kepolisian, penjara, dan sekolah.

Para peretas mengatakan mereka juga memiliki akses ke arsip video lengkap dari semua pelanggan Verkada. (Foto: freepik.com/perig76)

Sekelompok peretas mengatakan mereka telah membobol data kamera keamanan yang dikumpulkan oleh perusahaan rintisan Silicon Valley, Verkada Inc., mendapatkan akses ke umpan langsung dari 150.000 kamera pengintai di dalam rumah sakit, perusahaan, departemen kepolisian, penjara, dan sekolah.

Perusahaan yang rekamannya terungkap termasuk pembuat mobil Tesla Inc. dan penyedia perangkat lunak Cloudflare Inc. Selain itu, peretas dapat melihat video dari dalam klinik kesehatan wanita, rumah sakit jiwa, dan kantor Verkada sendiri. Beberapa kamera, termasuk di rumah sakit, menggunakan teknologi pengenalan wajah untuk mengidentifikasi dan mengkategorikan orang yang terekam dalam rekaman. Para peretas mengatakan mereka juga memiliki akses ke arsip video lengkap dari semua pelanggan Verkada.

Dalam video yang dilihat oleh Bloomberg, kamera Verkada di dalam rumah sakit Florida Halifax Health menunjukkan delapan staf rumah sakit yang menangani seorang pria dan menempatkannya ke tempat tidur. Halifax Health ditampilkan di situs web publik Verkada dalam studi kasus berjudul: “Bagaimana Penyedia Layanan Kesehatan Florida dengan Mudah Diperbarui dan Menerapkan Sistem Keamanan yang Sesuai dengan HIPAA yang Dapat Diskalakan.”

Video lain, diambil di dalam gudang Tesla di Shanghai, menunjukkan para pekerja di jalur perakitan. Para peretas mengatakan mereka memperoleh akses ke 222 kamera di pabrik dan gudang Tesla.

Pembobolan data dilakukan oleh kolektif peretas internasional dan dimaksudkan untuk menunjukkan luasnya pengawasan video dan kemudahan sistem dapat dibobol, kata Tillie Kottmann, salah satu peretas yang mengklaim telah membobol sistem keamanan tersebut, yang berbasis di California. Verkada. Kottmann, sebelumnya mengklaim telah melakukan peretasan pembuat chip Intel Corp dan pembuat mobil Nissan Motor Co. Kottmann mengatakan alasan mereka untuk peretasan adalah "banyak keingintahuan, memperjuangkan kebebasan informasi dan melawan kekayaan intelektual, dosis yang sangat besar anti-kapitalisme, sedikit anarkisme dan terlalu menyenangkan untuk tidak melakukannya. "

"Kami telah menonaktifkan semua akun administrator internal untuk mencegah akses tidak sah," kata juru bicara Verkada dalam sebuah pernyataan. "Tim keamanan internal dan firma keamanan eksternal kami sedang menyelidiki skala dan cakupan masalah ini, dan kami telah memberi tahu penegak hukum."

Seseorang yang mengetahui masalah tersebut mengatakan kepala petugas keamanan informasi Verkada, tim internal dan perusahaan keamanan eksternal sedang menyelidiki insiden tersebut. Perusahaan sedang bekerja untuk memberi tahu pelanggan dan menyiapkan saluran dukungan untuk menjawab pertanyaan, kata orang itu, yang meminta anonimitas untuk membahas penyelidikan yang sedang berlangsung.

"Sore ini kami diberitahu bahwa sistem kamera keamanan Verkada yang memantau titik masuk utama dan jalan raya utama di beberapa kantor Cloudflare mungkin telah disusupi," kata Cloudflare yang berbasis di San Francisco dalam sebuah pernyataan. Kamera-kamera itu terletak di beberapa kantor yang telah ditutup secara resmi selama beberapa bulan. Perusahaan mengatakan itu menonaktifkan kamera dan memutusnya dari jaringan kantor.

Perwakilan Tesla dan perusahaan lain yang diidentifikasi dalam cerita ini tidak segera menanggapi permintaan komentar. Perwakilan penjara, rumah sakit, dan sekolah yang disebutkan dalam artikel ini menolak berkomentar atau tidak segera menanggapi permintaan komentar.

Sebuah video yang dilihat oleh Bloomberg menunjukkan petugas di sebuah kantor polisi di Stoughton, Massachusetts, menanyai seorang pria yang diborgol. Para peretas mengatakan mereka juga mendapatkan akses ke kamera keamanan Sekolah Dasar Sandy Hook di Newtown, Connecticut, tempat seorang pria bersenjata menewaskan lebih dari 20 orang pada tahun 2012.

Juga tersedia bagi para peretas adalah 330 kamera keamanan di dalam Penjara Madison County di Huntsville, Alabama. Verkada menawarkan fitur yang disebut "Analisis Orang", yang memungkinkan pelanggan "menelusuri dan memfilter berdasarkan berbagai atribut, termasuk ciri jenis kelamin, warna pakaian, dan bahkan wajah seseorang", menurut entri blog Verkada. Gambar yang dilihat oleh Bloomberg menunjukkan bahwa kamera di dalam penjara, beberapa di antaranya tersembunyi di dalam ventilasi, termostat dan defibrillator, melacak narapidana dan staf pemasyarakatan menggunakan teknologi pengenalan wajah. Para peretas mengatakan mereka dapat mengakses umpan langsung dan video yang diarsipkan, dalam beberapa kasus termasuk audio, wawancara antara petugas polisi dan tersangka kriminal, semuanya dalam resolusi definisi tinggi yang dikenal sebagai 4K.

Kottmann mengatakan kelompok mereka dapat memperoleh akses "root" pada kamera, yang berarti mereka dapat menggunakan kamera untuk menjalankan kode mereka sendiri. Akses itu dapat, dalam beberapa kasus, memungkinkan mereka untuk berputar dan mendapatkan akses ke jaringan korporat yang lebih luas dari pelanggan Verkada, atau membajak kamera dan menggunakannya sebagai platform untuk meluncurkan peretasan di masa mendatang. Mendapatkan tingkat akses ke kamera ini tidak memerlukan peretasan tambahan, karena ini adalah fitur bawaan, kata Kottmann.

Metode peretas tidak canggih: mereka memperoleh akses ke Verkada melalui akun "Admin Super", memungkinkan mereka untuk mengintip ke kamera semua pelanggannya. Kottmann mengatakan mereka menemukan nama pengguna dan kata sandi untuk akun administrator yang terbuka secara publik di internet. Setelah Bloomberg menghubungi Verkada, para peretas kehilangan akses ke umpan dan arsip video, kata Kottmann.

Para peretas mengatakan mereka dapat mengintip ke beberapa lokasi rantai gym mewah Equinox. Di Wadley Regional Medical Center, sebuah rumah sakit di Texarkana, Texas, peretas mengatakan mereka melihat melalui kamera Verkada yang menunjuk ke sembilan tempat tidur ICU. Peretas juga mengatakan bahwa mereka menonton kamera di Rumah Sakit Tempe St. Luke, Arizona, dan juga dapat melihat catatan terperinci tentang siapa yang menggunakan kartu kontrol akses Verkada untuk membuka pintu tertentu, dan kapan mereka melakukannya. Seorang perwakilan Wadley menolak berkomentar.

Peretasan tersebut "memperlihatkan seberapa luas kita sedang diawasi, dan betapa sedikit perawatan yang dilakukan setidaknya untuk mengamankan platform yang digunakan untuk melakukannya, hanya mengejar keuntungan," kata Kottmann. "Sungguh liar bagaimana saya bisa melihat hal-hal yang selalu kami tahu sedang terjadi, tetapi kami tidak pernah melihatnya." Kottman mengatakan mereka memperoleh akses ke sistem Verkada pada Senin pagi.

Verkada, didirikan pada tahun 2016, menjual kamera keamanan yang dapat diakses dan dikelola pelanggan melalui web. Pada Januari 2020, ia mengumpulkan $ 80 juta dalam pendanaan modal ventura, menilai perusahaan pada $ 1,6 miliar. Di antara para investor itu adalah Sequoia Capital, salah satu firma tertua di Silicon Valley.

Kottmann menyebut kolektif peretasan sebagai "Ancaman Persisten Tingkat Lanjut 69420," rujukan ringan ke sebutan yang diberikan perusahaan keamanan siber kepada kelompok peretas yang disponsori negara dan pelaku kejahatan siber kriminal.

Pada Oktober 2020, Verkada memecat tiga karyawan setelah muncul laporan bahwa pekerja telah menggunakan kameranya untuk mengambil foto rekan perempuan di dalam kantor Verkada dan membuat lelucon seksual eksplisit tentang mereka. CEO Verkada Filip Kaliszan mengatakan dalam sebuah pernyataan kepada Wakil pada saat itu bahwa perusahaan "memberhentikan tiga individu yang menghasut insiden ini, terlibat dalam perilaku mengerikan yang menargetkan rekan kerja, atau lalai melaporkan perilaku tersebut meskipun mereka memiliki kewajiban sebagai manajer."

Kottmann mengatakan mereka dapat mengunduh seluruh daftar ribuan pelanggan Verkada, serta neraca perusahaan, yang mencantumkan aset dan kewajiban. Sebagai perusahaan tertutup, Verkada tidak mempublikasikan laporan keuangannya. Kottman mengatakan peretas mengawasi melalui kamera seorang karyawan Verkada yang memasang salah satu kamera di dalam rumahnya.

“Jika Anda adalah perusahaan yang telah membeli jaringan kamera ini dan Anda meletakkannya di tempat-tempat sensitif, Anda mungkin tidak berharap selain diawasi oleh tim keamanan Anda bahwa ada beberapa admin di perusahaan kamera yang juga menonton, ”kata Eva Galperin, direktur keamanan siber di Electronic Frontier Foundation, yang diberi pengarahan tentang pelanggaran oleh Bloomberg.