Sekelompok peretas mengatakan mereka membobol koleksi besar data kamera keamanan yang dikumpulkan oleh Verkada Inc. Muncul di Silicon Valley, di mana mereka memperoleh akses ke siaran langsung dari 150.000 kamera pengintai di dalam rumah sakit, perusahaan, departemen kepolisian, penjara, dan sekolah.
Perusahaan yang rekamannya telah terungkap termasuk pembuat mobil Tesla Inc. Dan penyedia perangkat lunak Cloudflare Inc. Selain itu, peretas dapat melihat video itu sendiri dari dalam Klinik Kesehatan Wanita, Rumah Sakit Jiwa, dan Verkada.
Beberapa kamera, termasuk yang ada di rumah sakit, menggunakan teknologi pengenalan wajah untuk mengidentifikasi dan mengklasifikasikan orang-orang yang ditangkap dalam foto tersebut. Peretas mengatakan mereka juga memiliki akses ke arsip video lengkap dari semua pelanggan Verkada.
Peretas yang Membahayakan
Dalam video yang dilihat oleh Bloomberg, kamera Verkada di dalam Rumah Sakit Kesehatan Halifax di Florida menunjukkan delapan staf rumah sakit yang merawat seorang pria dan menggantungnya di tempat tidur.
Halifax Health ditampilkan di situs Verkada yang menghadap audiens dalam studi kasus berjudul: “Bagaimana Penyedia Layanan Kesehatan Florida Dapat Memperbarui dan Menerapkan Sistem Keamanan yang Sesuai dengan HIPAA yang Mudah Skalabel.”
Video lain, difilmkan di dalam gudang Tesla di Shanghai, menunjukkan para pekerja di jalur perakitan. Para peretas mengatakan mereka memperoleh akses ke 222 kamera di pabrik dan gudang Tesla.
Telly Cottman, salah satu peretas yang mengklaim kredit untuk peretasan yang berbasis di San Mateo, California, mengatakan pembobolan data dilakukan oleh kelompok peretas internasional dengan tujuan menunjukkan prevalensi pengawasan video dan kemudahan penetrasi ke dalam sistem.
Vercada. Kottmann, yang menggunakan hati nuraninya, sebelumnya mengklaim kredit untuk meretas Intel Corp. Dan pembuat mobil Nissan Motor Co. Kottmann, mengatakan penyebab pembajakan adalah “banyak rasa ingin tahu, perjuangan untuk kebebasan informasi dan melawan kekayaan intelektual, anti-kapitalisme dalam dosis besar, anggukan terhadap anarkisme – dan juga menyenangkan untuk tidak melakukan itu.”
“Kami telah menonaktifkan semua akun resmi internal untuk mencegah akses tidak sah,” kata juru bicara Verkada dalam sebuah pernyataan. “Tim keamanan dalam negeri kami dan perusahaan keamanan luar sedang menyelidiki skala dan cakupan masalah ini, dan kami telah melaporkan kepada penegak hukum.”
Penyeldikan Insiden
Seseorang yang mengetahui masalah tersebut mengatakan kepala petugas keamanan informasi Verkada, tim internal, dan perusahaan keamanan luar sedang menyelidiki insiden tersebut. Orang yang meminta anonimitas untuk membahas penyelidikan yang sedang berlangsung mengatakan bahwa perusahaan sedang bekerja untuk memberi tahu klien dan membangun saluran dukungan untuk menjawab pertanyaan.
“Kami diberitahu sore ini bahwa sistem kamera keamanan Verkada yang memantau titik masuk utama dan jalan utama di beberapa kantor Cloudflare mungkin telah diretas,” kata Cloudflare yang berbasis di San Francisco dalam sebuah pernyataan. “Kamera telah ditempatkan di beberapa kantor yang telah ditutup secara resmi selama beberapa bulan.” Perusahaan mengatakan telah menonaktifkan kamera dan memutusnya dari jaringan kantor.
Perwakilan Tesla dan perusahaan lain yang diidentifikasi dalam cerita ini tidak segera menanggapi permintaan komentar. Perwakilan penjara, rumah sakit, dan sekolah yang disebutkan dalam artikel ini menolak berkomentar atau tidak segera menanggapi permintaan komentar.
Kronologi Peretasan
Sebuah video yang dilihat Bloomberg menunjukkan petugas di sebuah kantor polisi di Stoton, Massachusetts, menanyai seorang pria yang diborgol. Peretas mengatakan mereka juga mendapatkan akses ke kamera keamanan di Sekolah Dasar Sandy Hook di Newtown, Connecticut, tempat seorang pria bersenjata menewaskan lebih dari 20 orang pada tahun 2012.
330 kamera keamanan juga disediakan untuk peretas di dalam Penjara Madison County di Huntsville, Alabama. Verkada menawarkan fitur yang disebut “Analisis Orang”, yang memungkinkan pelanggan untuk “menelusuri dan memfilter berdasarkan berbagai sifat, termasuk atribut jenis kelamin, warna pakaian, dan bahkan wajah seseorang,” menurut Blog Verkada.
Gambar yang dilihat Bloomberg menunjukkan bahwa kamera di dalam penjara, beberapa tersembunyi di dalam ventilasi udara, termostat dan alat pacu jantung, melacak narapidana dan petugas koreksi menggunakan teknologi pengenalan wajah. Peretas mengatakan mereka memperoleh akses ke siaran langsung dan video yang diarsipkan, termasuk dalam beberapa kasus audio, wawancara antara petugas polisi dan tersangka kriminal, semuanya dalam resolusi definisi tinggi yang dikenal sebagai 4K.
Penjelasan oleh Peretas
Kottmann mengatakan kelompok mereka dapat memperoleh akses “root” ke kamera, yang berarti mereka dapat menggunakan kamera untuk menjalankan kode mereka. Akses ini dapat memungkinkan, dalam beberapa kasus, untuk berputar dan mendapatkan akses ke jaringan pelanggan Verkada perusahaan yang lebih luas, atau untuk membajak kamera dan menggunakannya sebagai platform untuk meluncurkan peretasan di masa mendatang. Mendapatkan tingkat akses kamera ini tidak memerlukan peretasan tambahan, karena ini adalah fitur bawaan, kata Cottman.
Taktik para peretas tidak rumit: mereka memperoleh akses ke Verkada melalui akun “Admin Super” mereka, memungkinkan mereka untuk menyelami kamera semua pelanggannya. Kottmann mengatakan mereka menemukan nama pengguna dan kata sandi untuk akun administrator yang telah diperlihatkan kepada publik di Internet. Setelah Bloomberg berhubungan dengan Roccada, kata Cottman, peretas kehilangan akses ke saluran video dan arsip.
Peretas mengatakan mereka telah dapat melihat di beberapa lokasi rantai gym mewah Equinox. Di Wadley Regional Medical Center, sebuah rumah sakit di Texarkana, Texas, peretas mengatakan mereka mencari melalui kamera Verkada yang menunjuk ke sembilan tempat tidur ICU. Peretas juga mengatakan mereka melihat kamera di Rumah Sakit Tempe St. Luke di Arizona, dan juga dapat melihat catatan rinci tentang siapa yang menggunakan kartu kontrol akses Vercada untuk membuka pintu tertentu, dan kapan mereka melakukannya. Perwakilan Wadley menolak berkomentar.
Antisipasi Peretasan
Terobosan tersebut, kata Cottman, “mengungkapkan seberapa luas pengawasan kami, betapa sedikit perawatan yang diambil untuk setidaknya mengamankan platform yang digunakan untuk melakukan ini, dan mengejar keuntungan.” “Aneh bagaimana saya dapat melihat hal-hal yang selalu kami ketahui terjadi, tetapi tidak pernah bisa. ” Cottman mengatakan mereka memperoleh akses ke sistem Vercada pada Senin pagi.
Didirikan pada tahun 2016, Verkada menjual kamera keamanan yang dapat diakses dan dikelola pelanggan melalui web. Pada Januari 2020, ia mengumpulkan $ 80 juta dalam pembiayaan modal ventura, menilai perusahaan pada $ 1,6 miliar. Di antara para investor itu adalah Sequoia Capital, salah satu perusahaan tertua di Silicon Valley.
Cottman menyebut kelompok peretasan massal sebagai “69420 Advanced Persistent Threat”, sebuah anggukan ringan pada sebutan yang diberikan perusahaan keamanan siber kepada kelompok peretasan yang disponsori negara dan kelompok kriminal siber.
Pada Oktober 2020, Verkada memecat tiga karyawan setelah muncul laporan bahwa pekerja menggunakan kamera mereka untuk mengambil foto rekan perempuan di dalam kantor Verkada dan menceritakan lelucon seksual eksplisit tentang mereka.
CEO Verkada Philip Kalizan mengatakan dalam sebuah pernyataan kepada Wakil pada saat itu bahwa perusahaan telah “memberhentikan tiga orang yang menghasut insiden ini, terlibat dalam perilaku mengerikan yang menargetkan rekan kerja, atau lalai melaporkan perilaku tersebut meskipun mereka memiliki kewajiban sebagai direktur.”
Penjara, Rumah dan Kantor
Kottmann mengatakan mereka berhasil mengunduh daftar lengkap ribuan pelanggan Verkada, serta neraca perusahaan, yang mencantumkan aset dan kewajiban. Sebagai perusahaan tertutup, Verkada tidak mempublikasikan laporan keuangannya. Cottman mengatakan bahwa penyusup memantau melalui kamera seorang karyawan Verkada yang telah menempatkan salah satu kamera di dalam rumahnya. Klip yang disimpan dari kamera menunjukkan karyawan tersebut menyelesaikan teka-teki dengan keluarganya.
“Jika Anda adalah perusahaan yang telah membeli jaringan kamera ini dan menempatkannya di tempat-tempat sensitif, Anda mungkin tidak menyangka bahwa selain dipantau oleh tim keamanan Anda, ada beberapa pejabat di perusahaan kamera yang juga,” ucapnya. Eva Galbrain, direktur keamanan siber di Electronic Frontier Foundation. Detail pelecehan dibagikan dengan Bloomberg. ”
Di dalam Fasilitas Penahanan Kabupaten Graham di Arizona, yang menampung 17 kamera, video diberi judul oleh staf pusat dan disimpan ke akun Verkada. Salah satu videonya, diambil di “area publik”, berjudul “ROUNDHOUSE KICK OOPSIE.” Klip video yang disimpan di dalam “kelompok sel back-end” disebut “Vendors sniff / kiss Willard ???” Video lain, difilmkan di dalam “Drunk Tank Exterior” berjudul “Autumn Bumps His Own Head.” Dua video direkam dari “Back Cell” berjudul “STARE OFF – DONT BLINK!” Dan “hilangkan selimut Lancaster”.
Para peretas juga memperoleh akses ke kamera Verkada di kantor Cloudflare di San Francisco, Austin, London, dan New York. Kamera di markas Cloudflare mengandalkan pengenalan wajah, menurut foto yang dilihat oleh Bloomberg. “Meskipun pengenalan wajah adalah fitur eksperimental yang disediakan Verkada kepada pelanggannya, kami belum secara aktif menggunakannya dan tidak berencana untuk melakukannya,” kata Cloudflare dalam pernyataannya.
Kesimpulan
Kamera keamanan dan teknologi pengenalan wajah sering digunakan di dalam kantor perusahaan dan pabrik untuk melindungi informasi hak milik dan melindungi dari segala ancaman internal, kata Galperin dari EFF.
“Ada banyak alasan sah untuk melakukan pengawasan di dalam perusahaan,” tambah Jalperin. “Bagian terpenting adalah mendapatkan persetujuan dari karyawan Anda. Ini biasanya dilakukan di dalam buku pegangan karyawan, yang tidak dibaca siapa pun.”
DAFTAR ISI
