متسللون يكشفون تفاصيل قرصنة واختراق آلاف الكاميرات الأمنية لشركات مختلفة بينها تسلا!
أعلن متسللون قيامهم باختراق مجموعة ضخمة من بيانات كاميرات الأمان المُباعة من قبل شركة Verkada. وتمكنوا من الوصول إلى معلومات حصرية من 150 ألف كاميرا مراقبة داخل المستشفيات والشركات وأقسام الشرطة والسجون والمدارس.
تبيع شركة Verkada، التي تأسست في عام 2016، الكاميرات الأمنية التي يمكن للعملاء الوصول إليها وإدارتها عبر الويب. كما جمعت الشركة في شهر “كانون الثاني” من العام الماضي 80 مليون دولار من تمويل رأس المال الاستثماري، مما قيّم الشركة ب 1.6 مليار دولار.
ما هي الشركات التي قام المتسللون باختراق كاميراتها؟
تشمل الشركات التي تم اختراق كاميراتها: شركة Tesla لصناعة السيارات ومزود البرامج Cloudflare Inc. بالإضافة لذلك، تمكن المخترقون من مشاهدة الفيديو من داخل عيادات صحة المرأة ومستشفيات الأمراض النفسية ومكاتب شركة Verkada.
تستخدم بعض الكاميرات (ومن ضمنها تلك الموجودة في المستشفيات) “تقنية التعرف على الوجه” لتحديد الأشخاص الذين تم التقاطهم في اللقطات. يقول المخترقون أنهم يملكون أيضاً إمكانية الوصول إلى أرشيف الفيديو الكامل لجميع عملاء شركة Verkada.
في مقطع فيديو شاهدته وكالة أنباء “Bloomberg”، أظهرت كاميرات Verkada داخل مستشفى “هاليفاكس هيلث” في فلوريدا ثمانية من العاملين في المستشفى يعالجون رجلاً ويضعونه في سرير. كما أظهر مقطع فيديو آخر تم تصويره داخل مستودع لشركة Tesla في شنغهاي، عمالاً على خط تجميع. قال المتسللون أنهم تمكنوا من الوصول إلى 222 كاميرا في مصانع ومستودعات Tesla.
قال “تيلي كوتمان” (أحد المتسللين) أن اختراق البيانات تم تنفيذه من قبل مجموعة قراصنة دولية بهدف إظهار انتشار المراقبة بالفيديو وسهولة اختراق الأنظمة. كما أنه ادعى قيامه بقرصنة شركة Intel Crop وشركات صناعة السيارات Nissan و Motor Co.
وصرح أن أسباب قيام القراصنة بذلك: هي “الكثير من الفضول، والنضال من أجل حرية المعلومات ضد الملكية الفكرية، ومناهضة الرأسمالية”.
قال أحد ممثلي شركة Verkada في بيان له: “قمنا بتعطيل جميع حسابات المسؤولين الداخليين لمنع أي وصول غير مصرح به. كما يقوم فريق الأمن الداخلي لدينا وشركة الأمن الخارجية بالتحقيق في حجم ونطاق هذه المشكلة”.
وقال شخص مطلع على الأمر أن كبير ضباط أمن المعلومات في Verkada موجود بين المحققين. كما صرح الشخص الذي طلب عدم الكشف عن هويته أن الشركة تعمل على إخبار العملاء بالمشكلة وإنشاء خط دعم للرد على أسئلتهم.
هل استجابت الشركات المتضررة لطلبات المتسللين؟
لم يستجب ممثلو Tesla و Cloudflare والشركات الأخرى المتضررة على الفور لطلبات المتسللين. كما رفض ممثلو السجون والمستشفيات والمدارس المذكورة في هذا المقال التعليق ولم يردوا على الفور على طلبات المتسللين أيضاً.
يظهر مقطع فيديو شاهدته وكالة أنباء “Bloomberg” ضباطاً في مركز للشرطة في “ستوتون” يستجوبون رجلاً مكبل اليدين. يقول المتسللون أنهم تمكنوا أيضاً من الوصول إلى الكاميرات الأمنية في مدرسة “ساندي هوك” الابتدائية في “نيوتاون-كونيتيكت”. كما تمكن المتسللون من الوصول إلى 330 كاميرا أمنية داخل سجن “مقاطعة ماديسون” في هانتسفيل.
وفقاً لمدونة Verkada، تقدم الشركة ميزة تسمى “تحليلات الناس”، والتي تتيح للعميل البحث والتصفية استناداً إلى العديد من السمات المختلفة. بما في ذلك، سمات الجنس ولون الملابس وحتى وجه الشخص.
تظهر الصور التي شاهدتها وكالة الأنباء قيام الكاميرات الموجودة داخل السجن (وبعضها مخفي داخل فتحات التهوية وأجهزة تنظيم الحرارة وأجهزة تنظيم ضربات القلب) بتعقب النزلاء والموظفين باستخدام “تقنية التعرف على الوجه”. يقول المتسللون أنهم تمكنوا من الوصول إلى البث المباشر ومقاطع الفيديو المؤرشفة. كما وصلوا لبعض تسجيلات الصوت الخاصة بالمقابلات بين الشرطة والمشتبه يهم، وكل ذلك بدقة عالية ووضوح كبير (4K).
قال “كوتمان” أن مجموعتهم تمكنت من الحصول على “وصول الجذر” على الكاميرات، مما يعني أنهم يمكنهم استخدام الكاميرات لتنفيذ التعليمات البرمجية الخاصة بهم. يمكن لهذا الوصول في بعض الحالات تمكينهم من الوصول إلى شبكة الشركة الأوسع لعملاء Verkada، أو سرقة الكاميرات واستخدامها كمنصة لتنفيذ عمليات اختراق مستقبلية. وقال “كوتمان” أن الحصول على هذه الدرجة من الوصول إلى الكاميرا لا يتطلب أي قرصنة إضافية، لأنه موجود بالأصل “كميزة مضمنة”.
كانت أساليب المتسللين غير معقدة، فقد تمكنوا من الوصول إلى Verkada من خلال حساب “مشرف أعلى”، مما مكنهم من النظر إلى كاميرات جميع عملائها.
ما الأمر الذي كشفه هذا الاختراق؟
قال “كوتمان”: “إن الاختراق كشف مدى خضوعنا للمراقبة، ومدى ضعف تأمين المنصات المستخدمة، والسعي وراء لا شيء سوى الربح. وإنه لأمرٌ غريب كيف يمكنني رؤية الأشياء التي كنا نعلم بحدوثها دائماً، لكنا لم نتمكن من رؤيتها أبداً”.
في الختام، هناك العديد من الأسباب المشروعة لوجود مراقبة داخل الشركة. لكن أهم ما في الأمر هو حصولك على موافقة موظفيك. وعادةً ما يوجد ذلك الشرط في “كتيب الموظف”، والذي لا يقرأه أحد.
اقرأ أيضاً: إضافة خبيثة في غوغل كروم تسمح للهاكرز بسرقة بيانات المستخدمين