Hack gaf toegang tot 150.000 camera's in onder andere gevangenissen en fabrieken

Hackers hebben toegang gekregen tot 150.000 beveiligingscamera's van de Amerikaanse start-up Verkada. Ze konden live meekijken in Tesla-fabrieken, gevangenissen en bij het beveiligingsbedrijf zelf. Ook kregen ze toegang tot videoarchieven.

De hack werd uitgevoerd door een groep beveiligingsexperts die de gebrekkige beveiliging aan willen tonen, schrijft Bloomberg. Onder andere ontwikkelaar Tillie Kottmann is betrokken bij die groep die zichzelf Advanced Persistent Threat 69420 noemt. Volgens Kottmann kreeg de groep root-toegang tot de camera's middels een 'Super Admin'-account waarvan de inloggegevens online werden gevonden.

De beveiligingscamera's van Verkada hangen onder andere in ziekenhuizen, bij bedrijven, in gevangenissen en in fabrieken. De hackers konden meekijken met 330 camera's in een gevangenis in Alabama, waar ook gezichtsherkenning wordt gebruikt om de gevangenen te volgen.

De hackers konden ook meekijken met 222 camera's in fabrieken en magazijnen van Tesla. Ook zagen ze beelden van kantoren van Cloudflare, politiebureaus, gevangenissen, scholen en ziekenhuizen. Ook hadden de hackers toegang tot archieven, soms ook met bijbehorende audio. Zo konden ze ondervragingen van de politie met verdachten bekijken. Bloomberg heeft diverse beelden ingezien en zegt dat het om 4k-materiaal gaat.

Nadat Bloomberg contact opnam met Verkada, heeft het bedrijf alle adminaccounts preventief uitgezet en had de groep hackers geen toegang meer. Het bedrijf zegt een ander bedrijf ingehuurd te hebben om het incident te onderzoeken en heeft de politie ingeschakeld.

Verkada is opgericht in 2016 en verkoopt beveiligingscamera's met bijbehorende clouddiensten aan bedrijven. De start-up kreeg in januari vorig jaar 80 miljoen dollar aan durfkapitaal en zou gewaardeerd worden op een waarde van 1,6 miljard dollar.

Reacties (69)

pc-freakz 10 maart 2021 08:49

Toch wel bizar dat we het hebben over de beelden in de cloud en niet waarom er een super admin account van de leverancier bestaat welke in bij meerdere klanten alle camera's kan inzien en de beelden kan afspelen?

Bij een gemiddelde cloud provider (Azure/AWS) kan de backend engineer dit vast ook wel bij servers, maar dan nog kan je niet in de virtuele server zelf tenzij er een remote console open staat bijv.

Vind het toch wel een basisprincipe dat de leverancier helemaal niet bij de beelden zou moeten kunnen als je de data daar onder brengt. Dan kan je het ook niet lekken of medewerkers hebben die aan het gluren zijn en er op de een of andere manier hun voordeel mee doen...

macnerd @pc-freakz • 10 maart 2021 09:10

Het hoeft helemaal niet zo te zijn dat de leverancier persé wil kunnen meekijken. De term 'Super Admin' -account werd gebruikt door 1 van de hackers. Het kan ook ook om een default account gaan, waarmee je primair de camera instelt en geacht wordt om het wachtwoord aan te passen.

Dat zo'n wachtwoord op straat komt te liggen is dan nog niet eens zo raar. Dat zal dan in de handleiding staan. Neemt niet weg dat ook de fabrikant een verantwoordelijkheid heeft om dit soort configuratiefouten te voorkomen.

bwerg @macnerd • 10 maart 2021 09:30

geacht wordt om het wachtwoord aan te passen.

De keuze voor een gelijk standaardwachtwoord op alle apparaten is al een risico op zich. Lekker makkelijk want dan hoeft er geen uniek standaardwachtwoord per apparaat gegenereerd te worden, maar het legt de verantwoordelijkheid wel bij de gebruiker. Het is voldoende om de verantwoordelijkheid te verplaatsen, maar natuurlijk niet voldoende om ook daadwerkelijke lekken te voorkomen.

Glodenox

@bwerg • 10 maart 2021 10:35

Inderdaad, maar je hoeft zelfs niet per se een uniek wachtwoord te genereren per apparaat. Zorg er gewoon voor dat je een zwart scherm krijgt met de tekst "Please change the default password to enable this camera" zolang het standaard wachtwoord ingesteld staat. Of nog gebruiksvriendelijker: stel geen standaard wachtwoord in en verplicht het instellen van een wachtwoord wanneer je het controlescherm van de camera voor het eerst opent. Wel nog altijd met een zwart scherm en die tekst.

Nadeel is natuurlijk dat het dan niet meer plug-and-play is, maar dat zou bij beveiligingscamera's alleen veilig mogelijk zijn als je deze alleen toegang geeft tot een intern netwerk.

Grrrrrene

@Glodenox • 10 maart 2021 10:43

Maar dat zouden maatregelen moeten zijn die gelden om consumenten te beschermen. Als jij als ICT'er camera's in een gevangenis moet plaatsen en daarbij:

1. bedenkt dat het goed is om dat naar een cloud te streamen
2. bedenkt dat het goed is om het standaard ww te behouden,

mag je van mij met een flinke straf naar huis gestuurd worden. WTF man...

i-chat @Grrrrrene • 10 maart 2021 13:30

naar huis, wat denk je van naar de gevangenis? in laten we zeggen Alabama?

JapyDooge @macnerd • 10 maart 2021 09:35

Uit de tweets van Tillie bleek dat deze account ook remote root-access op de (Linux) camera's gaf. Dat lijkt mij redelijk 'Super Admin'. Overigens is Verkada al eerder in het nieuws geweest vanwege wanpraktijken en is in ieder geval de managementlaag niet vies van meekijken: https://www.theverge.com/...harassed-female-employees

dezejongeman @macnerd • 10 maart 2021 09:18

dit is inderdaad wat ik mis in het artikel. wat voor admin account was dit. installateurs die laks zijn geweest en het default wachtwoord niet hebben gewijzigd bij de installatie of ging het hier om een hard baked wachtwoord welke de fabrikant gebruikt.

in het geval van het eerste zegt dat niets over de kwaliteit van het platform, maar wel over de partijen die ze ophangen. als het om het 2e gaat dan zien we weer dat de fabrikant laks is, typisch iets voor hardware makers welke minder sterk zijn aan huns software kant.

mcvos @macnerd • 11 maart 2021 14:13

Dit is hetzelfde bedrijf waar eerder een sales manager via een superuser account beelden van vrouwlijke collega's opzocht en deelde met mannelijke collega's om er sexuele grappen over te maken. Dat bedrijf heeft die mensen daarna niet ontslagen maar een tik op de vinger gegeven.

Dar voorval gaf al aan dat er iets niet in de haak was met zowel de beveiliging, als de cultuur in het bedrijf.

Arfman @pc-freakz • 10 maart 2021 09:00

Verschil is dat, omdat het in de cloud draait, iedereen er in theorie bij kan. Als ik mijn camera's niet goed beveilig op mijn werk, kunnen er in theorie 5 mensen bij (bij wijze van).

tha_crazy @Arfman • 10 maart 2021 09:07

In theorie wel, in de praktijk is dat over het algemeen goed (en soms zeer gemakkelijk) af te schermen.
firewall rules zijn vaak makkelijk aan te maken, en bij Azure heb heb je bijvoorbeeld Private Endpoints.

Wij zitten in een transitie om alles naar Azure te brengen, maar onze databases bijvoorbeeld, ondanks dat ze een publieke URL hebben, zijn alleen te bereiken over een Private Endpoint.
Dit betekend dat je alleen vanaf ons interne netwerk er naartoe kan.

Maargoed, dan moet je het wel inrichten

Nald @pc-freakz • 10 maart 2021 12:45

Semi off-topic maar wel interessant is dit leuke filmpje over hoe makkelijk het is om mee te kijken met een ip camera (is een filmpje uit 2013) https://www.youtube.com/watch?v=B8DjTcANBx0

pleh 10 maart 2021 08:21

Als je credentials op het internet vindt is het dan al hacken? Dit is net zoeits als een post-it op je monitor plakken met al je wachtwoorden.

THETCR @pleh • 10 maart 2021 08:24

Het is moeilijk serieus te nemen, maar volgens de wet is het wel zo.

The Zep Man

Networking en security
Hackers

@THETCR • 10 maart 2021 08:25

Volgens de wet bestaat 'hacken' niet. Men spreekt (in Nederland) over 'computervredebreuk'.

Wikipedia heeft daar een stukje over. Inloggen met credentials die niet van jou zijn is een vorm van computervredebreuk:

Het wetboek omschrijft computervredebreuk als "opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk of in een deel daarvan". Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven:

(...)
d. door het aannemen van een valse hoedanigheid.

Credentials gebruiken die je ergens online vindt valt ook onder het aannemen van een valse hoedanigheid.

[Reactie gewijzigd door The Zep Man op 24 juli 2024 22:33]

THETCR @The Zep Man • 10 maart 2021 08:28

Dat verandert niks aan de juridische grondslag, het zijn alleen semantics waar je nu op wijst.

Het gaat erom dat zelfs wanneer iemand zijn voordeur open staat. Je nog steeds niet zonder toestemming naar binnen mag gaan.

The Zep Man

Networking en security
Hackers

@THETCR • 10 maart 2021 08:29

Het gaat erom dat zelfs wanneer iemand zijn voordeur open staat. Je nog steeds niet zonder toestemming naar binnen mag gaan.

Dat is een valse vergelijking. Een openstaande voordeur kan een uitnodiging zijn. Denk aan publiekelijke websites waar je mee kan verbinden. Een gesloten deur openen (die niet op slot is), kan overigens sneller een stap te ver zijn. Dat ligt aan de situatie.

Uiteraard alles in redelijkheid en billijkheid, maar online credentials ergens vinden en die gebruiken is niet vergelijkbaar met een open voordeur. Het is eerder te vergelijken met een sleutel voor iemand zijn pad vinden, en die gebruiken om de voordeur te openen. Is het slordig dat die sleutel daar ligt? Zeker. Maakt dat het goed dat je probeert of die sleutel op die deur past? Nee. Als je niet weet van wie de sleutel is maar een vermoeden hebt, dan maak je hem onbeschikbaar (in het geval van een fysieke sleutel) en gooi je een briefje in de betreffende brievenbus (responsible disclosure).

[Reactie gewijzigd door The Zep Man op 24 juli 2024 22:33]

YopY @THETCR • 10 maart 2021 11:31

In dit geval: wanneer je de sleutel van iemands huis hebt.

Niet Henk @Honbrifcl • 10 maart 2021 09:14

Natuurlijk. De politie mag ook je drugslab binnenvallen door de deur in te rammen, terwijl ik niet zomaar bij mensen naar binnen mag, ookal is de deur niet goed op slot.

Tweakers heeft in 2016 nog een uitgebreid artikel gedaan over de Wet Computercriminaliteit III die de hackbevoegdheid van de politie uitbreidde. Zover ik weet zijn er sindsdien geen grote wijzigingen.

Er moeten wel duidelijke aanwijzingen zijn dat je een ernstig misdrijf tegenkomt, natuurlijk, en dit moet vooraf rechtelijk getoetst zijn. Ik hoop dat ze dit met zowel EncroChat als Sky ECC goed geregeld hadden.

Leejjon

@Honbrifcl • 10 maart 2021 09:15

Helaas wel, dat zat in die laatste sleepwet die doorgedrukt was ondanks dat burgers in een referendum tegen stemde. En de toezicht houder zegt genegeerd te worden nu het kabinet de politie nog meer wil laten doen:
https://www.computable.nl...-uitholling-sleepwet.html

AmigaWolf @Leejjon • 10 maart 2021 23:53

Helaas wel, dat zat in die laatste sleepwet die doorgedrukt was ondanks dat burgers in een referendum tegen stemde. En de toezicht houder zegt genegeerd te worden nu het kabinet de politie nog meer wil laten doen:
https://www.computable.nl...-uitholling-sleepwet.html

Ja is niks nieuws aan, de regering eigent zichzelf altijd steeds meer macht, hoe groter een regering woord hoe corrupter ze woorden.

Macht maakt corrupt; absolute macht maakt absoluut corrupt.

Leejjon

@i-chat • 10 maart 2021 14:08

Ik ben geen journalist, gewoon iemand die in de comments die antwoord geeft op een vraag van iemand. Is tweakers zelf wel goed?
nieuws: 'Toezicht op Nederlandse inlichtingendiensten dreigt te worden uitgeh...

[Reactie gewijzigd door Leejjon op 24 juli 2024 22:33]

robvanwijk

Hackers

@THETCR • 11 maart 2021 16:43

Wat de wet ervan vindt is pas relevant als het ooit tot een rechtszaak zou komen. De kans dat dat gaat gebeuren lijkt me klein: als beveiligingsbedrijf iemand aanklagen die aantoont dat je beveiliging waardeloos is (zeker als diegene het alleen aangetoond heeft, maar geen misbruik heeft gemaakt) is vragen om problemen. Tijdens een (openbare!) rechtszaak zou bijvoorbeeld precies behandeld worden wat de verdachten hebben gedaan, oftewel, hoe brak je beveiliging precies was. Bovendien blijft zo'n rechtszaak maanden of zelfs jarenlang in het nieuws komen. Dat is een complete PR-nachtmerrie; beter om niemand aan te klagen en hopen dat (bestaande en potentiële nieuwe) klanten dit zo snel mogelijk vergeten.

Mavamaarten @pleh • 10 maart 2021 08:25

Waarom heeft elk zo'n toestel zelfs een "superadmin" account... te dom voor woorden

Blokker_1999

Hackers
Hack
Networking en security

@Mavamaarten • 10 maart 2021 08:59

Wie zegt dat het om de toestellen gaat en niet om de cloudservice? Tenzij al deze toestellen zelf benaderbaar zijn via het internet, wat mij dan weer vreemd zou lijken.

frickY @Blokker_1999 • 10 maart 2021 10:07

Op de toestellen zelf staan geen archieven 4K materiaal.
Ik denk dat we er inderdaad van uit mogen gaan dat ze hebben ingelogd op het cloud-platform met de gevonden credentials.

uiltje @Blokker_1999 • 11 maart 2021 10:20

Tja, ze zullen wel een IP nummer hebben vermoed ik.

Maar goed, idd waarschijnlijk een cloud-login. Maar zelfs dan: waarom zouden al die *instellingen* een super admin account moeten hebben dat overal gelijk is? Het probleem is daar niet mee weg en het lijkt me nog steeds niet al te slim.

[Reactie gewijzigd door uiltje op 24 juli 2024 22:33]

telenut @pleh • 10 maart 2021 08:53

Ben daar in België toch voor veroordeeld geweest :-)
De rechters die daarover beslissen zijn trouwens doorgaans niet zo IT minded.

Blokker_1999

Hackers
Hack
Networking en security

@telenut • 10 maart 2021 08:59

Moet ook niet, ze moeten de wet kennen. Als ze op alle gebieden waarover ze oordelen expert moeten zijn, dan zou je geen rechters vinden.

TheVivaldi @Blokker_1999 • 10 maart 2021 10:42

Dat is waar, maar het zou wel helpen als er standaard experts zouden worden ingeroepen om de rechters te ondersteunen op specialistische vlakken als dit. Dat gebeurt wel eens, maar niet altijd, en dat zou m.i. wel moeten.

[Reactie gewijzigd door TheVivaldi op 24 juli 2024 22:33]

i-chat @TheVivaldi • 10 maart 2021 13:37

dat is dan doorgaans de taak van jouw strafadvocaat

Het OM blaat doorgaans gewoon maar wat dus als jij als advocaat een aantal vragen hebt gesteld aan kundige IT-specialisten en die antwoorden ter bewijs voorlegt dan zal die rechter daar gewoon naar moeten kijken.

Uit ervaring weet ik dat het OM dan vooral rond zaken met tienerhackertjes (waar het OM echt zij beste juristen niet op zet) gewoon op zijn bek gaat.

hiostu @pleh • 10 maart 2021 08:25

Het ligt er een beetje aan wat ze hebben moeten doen om het wachtwoord online te "vinden".

SunnieNL

@pleh • 10 maart 2021 09:08

als jij de sleutel vind van de voordeur en daarmee het huis in gaat (en het is niet jou huis), is het dan inbreken?

frickY @SunnieNL • 10 maart 2021 10:10

Als je de sleutel hebt gevonden, er geen slot op de voordeur zit, de deur open staat, of er überhaupt geen deur is, heet het insluiping ofwel huisvredebreuk.
De digitale tegenhanger is computervredebreuk. In media wordt dat doorgaans "hacken" genoemt.

[Reactie gewijzigd door frickY op 24 juli 2024 22:33]

Blokker_1999

Hackers
Hack
Networking en security

@SunnieNL • 10 maart 2021 10:28

Nee, maar nog wel huisvredebreuk. Voor inbraak moeten er braaksporen zijn. Er zijn al discussies geweest tussen verzekeringsmaatschapijen en clienten die een inbraakverzekering hadden maar waar de inbreker binnen is geraakt zonder braaksporen. Pro tip: als je zelf voor sporen wil zorgen, sla dan een ruit in van buiten naar binnen en niet omgekeerd zoals soms ook wel eens gedaan wordt.

i-chat @Blokker_1999 • 10 maart 2021 13:39

en niet omgekeerd zoals soms ook wel eens gedaan wordt.

$_/-\o_$ $_/-\o_$

[Reactie gewijzigd door i-chat op 24 juli 2024 22:33]

_Thanatos_ @pleh • 10 maart 2021 10:40

Je haalt twee werelden door elkaar.

Een dief die je huis binnendringt, is niet op zoek naar wachtwoorden, maar naar een makkelijke buit. Geld, sierraden, telefoon, dat soort dingen. Ze zijn niet geinteresseerd in identificatiefraude. Black-hat hackers zijn dat mogelijk wel, maar die kunnen de postit op je monitor weer niet zien.

arnom 10 maart 2021 08:38

Hoe lang wordt een bedrijf nog als "startup" gezien zeg?
80miljoen geïnvesteerd en nu al een waarde van 1,6miljard met zo te lezen al vele duizenden camera's die overal en nergens gebruikt worden. In iets meer dan 1 jaar hebben ze echt niet zoveel contracten gewonnen en uitgeleverd. Ze zijn al veel langer bezig te zien.
Ik noem dat eerlijk gezegd geen startup meer, maar gewoon een bedrijf.

[Reactie gewijzigd door arnom op 24 juli 2024 22:33]

sircampalot @arnom • 10 maart 2021 08:43

Gezien de beginnersfout met een fixed admin account, zou je ze nog best wel als startup kunnen zien.

oscar oscar @arnom • 10 maart 2021 08:44

Op het randje inderdaad, bedrijf bestaat al ongeveer 5 jaar. Meestal wordt naar oprichtdatum gekeken of een bedrijf nog een startup is, niet naar waardes (omzet, kapitaal, winst ...). 3 tot 5 jaar is gangbaar als grens om niet meer van een startup te spreken.

Maar startup is toch zo hip tegenwoordig...

Harm_H @oscar oscar • 10 maart 2021 09:54

Hoe hebben ze in 5 jaar zoveel klanten, geproduceerde en geïnstalleerde camera's? De R&D is gedaan voordat het bedrijf 'startte'?

BlaTieBla @arnom • 10 maart 2021 09:10

Bedrijven als Uber, deliveroo, e.d. zijn heel lang start-up geweest (of zijn het misschien zelfs nog wel). Volgens mij blijft het een start-up heten zolang de financiële gaten gedicht worden met Venture Capital geld. Dat gaat door totdat het echt niet levensvatbaar is (failliet), of dat de concurrentie voldoende weg is en ze prijzen omhoog kunnen gooien om het VC geld terug te betalen.

Christoxz 10 maart 2021 08:24

Zo konden ze ondervragingen van de politie met verdachten bekijken

Bizar dat dat nog in de cloud was of in iedere geval nog rondom het systeem van Verkada.
Voor dit zo dingen, net als ziekenhuizen zou er een geheel aparte infrastructuur voor moeten zijn, ipv de reguliere enterprise CCTV.

_Thanatos_ @Christoxz • 10 maart 2021 10:42

Je zou verwachten dat IP-camera's ook "CCTV" zijn. Er is geen wet die zegt dat alles met een netwerkstekker op internet moet zitten. Het kan prima een CC (closed circuit) zijn dat uit een LAN bestaat, ipv de coax-kabels van een traditioneel CCTV-systeem. En dan ergens in dat CC dus ook een terminal om de beelden live te zien, en storage om ze terug te kijken.

[Reactie gewijzigd door _Thanatos_ op 24 juli 2024 22:33]

Christoxz @_Thanatos_ • 10 maart 2021 10:53

Dat kan zeker CC, en dat is exact waar ik op doel, want dit was dus wel direct gekoppeled, aan het internet, en niet closed.

Volgens Kottmann kreeg de groep root-toegang tot de camera's middels een 'Super Admin'-account waarvan de inloggegevens online werden gevonden.
Nadat Bloomberg contact op nam met Verkada, heeft het bedrijf alle adminaccounts preventief uitgezet en de had de groep hackers geen toegang meer.

henkkeumus 10 maart 2021 08:33

In de camera's of de NVR zelf? Wie heeft tegenwoordig z'n camera nog rechtstreeks aan het internet hangen?! Naast het feit dat de inloggegevens misschien op het internet te vinden zijn, zijn dergelijke bedrijven dan wel zo slim qua inrichting van de camera's?

Ik snap dat bij sommige bedrijven de camera's extern benaderd moeten worden, maar gevangenis bijv. lijkt me lokale videostream naar een NVR toch meer dan voldoende? Waarna alleen de NVR extern benaderbaar moet zijn, kan heel simpel door ze in een apart VLAN te taggen.

Goed, ik weet natuurlijk de exacte use-case van deze bedrijven voor die camera's maar het roept toch een aantal vragen bij mij op, vooral voor zulke grote instanties.

[Reactie gewijzigd door henkkeumus op 24 juli 2024 22:33]

batjes

Networking en security

@henkkeumus • 10 maart 2021 09:15

Redenen genoeg om camera's extern te benaderen, of het noodzakelijk is, is een tweede. Maar dat de aanbieder met 1 admin account even bij alle klanten live mee kan kijken... Dat ze uberhaupt zo maar mee kunnen kijken is niet al te positief, laat staan als je vandaag de dag nog met dit soort "root" accounts gaat werken.

henkkeumus @batjes • 10 maart 2021 10:35

Ben ik helemaal met je eens hoor, zulke accounts hebben eigen geen tot weinig nut. Vaak worden deze accounts gebruikt om updates te pushen en zonder tussenkomt van eindgebruiker te installeren.

Echter ligt er natuurlijk ook een verantwoordelijkheid bij de eindgebruiker en al helemaal als deze een overheidsinstantie betreft. Als ik het verhaal zo lees kan ik dus concluderen dat deze camera's allemaal een eigen uplink naar het internet hebben gehad en dat is noemenswaardig..

_Thanatos_ @henkkeumus • 10 maart 2021 10:48

kan heel simpel door ze in een apart VLAN te taggen

Wat je simpel noemt. Voor een netwerkexpert is dat misschien simpel, maar voor mij niet. En daarbij is VLAN ook weer een software-dingetje dat kapot kan gaan of gehackt kan worden.

Ik zou dit soort spul eerder fysiek isoleren. Dan weet je 100% dat er geen mogelijkheid is om van buitenaf de boel te kunnen benaderen, want dat is helemaal niet nodig.

henkkeumus @_Thanatos_ • 10 maart 2021 12:27

VLAN's zijn zeker niet moeilijk

. Ik zou je de uitleg over hoe en wat besparen maar lees je er maar eens op in, dit is relatief makkelijk in te stellen als de switches en routers in jouw netwerk dit ondersteunen. Gooi hier een aantal beleidsregels tegenaan (Bijv. VLAN 'x' uit Netwerk 'A' mag enkel over LAN poorten communiceren en niet over de WAN.)

Natuurlijk, ik ben het helemaal met je eens dat camera systemen (om de reden als dit topic) geïsoleerd moeten zijn.

Dan weet je 100% dat er geen mogelijkheid is om van buitenaf de boel te kunnen benaderen, want dat is helemaal niet nodig.

Daar ben ik het dan niet helemaal mee eens. Er kunnen use-cases zijn waarbij bijvoorbeeld de stream naar een off-site NVR gaat om daar opgeslagen te worden. Of externe partijen (zoals een avond/nacht beveiligingsbedrijf moet natuurlijk ook bij de beelden kunnen in geval van een calamiteit oid.

_Thanatos_ @henkkeumus • 11 maart 2021 09:51

Dat laatste stukje lijkt me dan een stukje luxe, want bij traditionele CCTV is dat volgens mij niet het geval (correct me if I'm wrong).

muppet99 10 maart 2021 09:01

Helaas gebeurd het heel vaak dat er een wachtwoord achterblijft bij het verplaatsen van data. Dan blijkt ook nog eens dat dat wachtwoord zowel voor test/acceptatie als productie gebruikt is. Want dat scheelt weer werk.

Blijkbaar heeft ook deze partij er geen chocola (Verkade) van gegeten

Vrijdag 10 maart 2021 08:42

Gelukkig hebben ze niks te verbergen, want het zijn geen crimine...

Oh niet allemaal dan toch

pizzafried @Vrijdag • 10 maart 2021 09:09

vergeet de bedrijfsgeheimen niet zeg.

HADES2001 10 maart 2021 08:52

"Onder andere ontwikkelaar Tillie Kottmann is betrokken bij die groep die zichzelf Advanced Persistent Threat 69420 noemt. Volgens Kottmann kreeg de groep root-toegang tot de camera's middels een 'Super Admin'-account waarvan de inloggegevens online werden gevonden."
Officieel is het een hack maar een wachtwoord gegoogled is slording maar niet een zware hack. Het zou de groep ook sieren om een wat serieuze naam aan te nemen APT 69 420 klinkt meer alsof ze indruk willen maken op 9gag/4chan
Verwacht van dit ook niet veel impact zal maken, even alle wachtwoorden aanpassen en veiliger opslaan en het is zo te horen weer ok.

batjes

Networking en security

@HADES2001 • 10 maart 2021 09:17

Ze komen over alsof ze ethisch hacken, maar ze zijn veel verder gegaan dan proof-of-concept aantonen. De naam laat wel goed zien wat je van ze kan verwachten.

BytePhantomX 10 maart 2021 08:59

Wat in het artikel nog mist is dat Verkada vrij bekend is door het mogelijk maken van gezichtsherkenning. Op veel camera's die gehackt zijn was dat op zijn minst mogelijk of zelfs actief.

Bizar dat met een dergelijk privacy gevoelig systeem de beveiliging zo slecht geregeld is.
https://www.vice.com/en/a...ial-recognition-customers

Holly Lolly 10 maart 2021 10:18

Even voor mijn beeldvorming...

Werkt dit ook bij bekabeld aangesloten camera's ?
Je moet toch immers sowieso eerst in je router komen via het WAN adres om überhaupt
de intern uitgedeelde IP adressen van je apparaten te zoeken.....

Er van uit gaande dat de meeste huis tuin en keuken apparatuur bij de gemiddelde gebruiker
alleen maar een intern IP adres krijgt toegewezen en niet gelijk een WAN adres mét poortnummer !
Of zie ik dit verkeerd ?

tomdpz @Holly Lolly • 10 maart 2021 11:48

Van zodra je er cloud services aan koppelt heb je een mogelijke toegang vanop het internet. Ik neem aan dat in deze hack het de cloud service is dat werd gecompromitteerd.

Op dit item kan niet meer gereageerd worden.

Hack gaf toegang tot 150.000 camera's in onder andere gevangenissen en fabrieken

Lees meer

Reacties (69)

Sorteer op:

Weergave: