Tesla, Gefängnisse, Ärzte: Verkada ließ selbst Praktikanten auf Kameras zugreifen

Auf die vornehmlich bei Unternehmen wie Tesla eingesetzten Überwachungskameras von Verkada konnten etliche Angestellte zugreifen - per Root-Shell.

Artikel veröffentlicht am ,
Wer da wohl so alles zuschaut?
Wer da wohl so alles zuschaut? (Bild: Verkada)

Die Hacktivisten, die in den vergangenen Tagen auf 150.000 Überwachungskameras des Herstellers Verkada zugreifen konnten, waren nicht die einzigen mit weitreichendem Zugriff auf die Livestreams bei Tesla, Ärzten, Polizeidienststellen oder Gefängnissen: Auch etliche Angestellte bis hin zu Vertriebsmitarbeitern und Praktikanten des Kameraherstellers konnten auf die Kameras zugreifen.

Stellenmarkt
  1. Cyber Security Analyst / Penetration Tester:in (w/d/m)
    Haufe Group, Freiburg im Breisgau
  2. IT-Professional - Systemadministrator (m/w/d)
    Polizeipräsidium Oberbayern Nord, Ingolstadt
Detailsuche

Allerdings nicht nur auf die Livestreams sowie die archivierten Videos, sondern mittels eines "Super-Admin-Kontos" auf eine Root-Shell direkt auf den Kameras.

"Wir hatten buchstäblich 20-jährige Praktikanten, die Zugriff auf über 100.000 Kameras hatten und alle ihre Feeds weltweit einsehen konnten", sagte eine ehemalige Führungskraft dem Magazin Bloomberg. Die Angestellten wurden angewiesen, die Hintertür nicht an die Kunden zu kommunizieren.

Griffen Verkada-Angestellte auf eine Kamera zu, wurde dies protokolliert. "Niemand kümmerte sich um die Überprüfung der Protokolle", sagte eine ehemalig angestellte Person zu Bloomberg. "Man konnte in diese Notiz schreiben, was immer man wollte; man konnte sogar nur ein einzelnes Leerzeichen eingeben."

Golem Karrierewelt
  1. Advanced Python – Fortgeschrittene Programmierthemen: virtueller Drei-Tage-Workshop
    23.-25.01.2023, Virtuell
  2. AZ-500 Microsoft Azure Security Technologies (AZ-500T00): virtueller Vier-Tage-Workshop
    30.01.-02.02.2023, virtuell
Weitere IT-Trainings

Die Überwachungstechnik von Verkada richtet sich vor allem an Unternehmen und staatliche Einrichtungen. Die Verkada-Webseite listet bekannte Firmen wie Tesla, Citrix oder Cloudflare. Aber auch Polizeidienststellen, Banken und Schulen setzen die Überwachungskameras ein.

Privatsphäre-Modus von Verkada konnte umgangen werden

Ingenieure hätten täglich auf verschiedene Kameras zugegriffen. Vertriebsmitarbeiter hätten laut einem Bericht von Ipvm ebenfalls ihre Zugänge missbraucht, um sexistische Witze über Kolleginnen zu machen.

Internet of Crimes: Warum wir alle Angst vor Hackern haben sollten (Deutsch) Gebundene Ausgabe

Zwar hätten Verkada-Kunden einen Privatsphäre-Modus aktivieren können, der die Kameras vor den Verkada-Angestellten verstecken soll, dieser konnte jedoch mit dem Super-Admin-Konto umgangen werden, sagte die früher angestellte Person. Auch die zum Zugriff notwendige Multi-Faktor-Authentifizierung konnte von den Angestellten einfach deaktiviert werden.

Das Hackerkollektiv, das in den vergangen Tagen auf 150.000 Überwachungskameras von Verkada zugreifen konnte, gab sich ebenfalls als Angestellte aus und nutzte das Super-Admin-Konto. Das Protokollfeld füllten sie dabei mit Begriffen wie "APT-69420" aus. Kontrolliert wurde dies offensichtlich nicht.

Tillie Kottmann, einer der Hacker, die sich zu dem Vorfall bekannt haben, sagte, sie wollten zeigen, wie weit verbreitet die Videoüberwachung ist und wie leicht diese Systeme die vertraulichen Bereiche der Nutzer preisgeben können.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Amazon Shopper Panel
Amazon zahlt für Überwachung des Smartphone-Datenverkehrs

Wer seinen gesamten Smartphone-Datenverkehr über Amazons Server leitet, wird mit einem monatlichen Gutschein dafür bezahlt.

Amazon Shopper Panel: Amazon zahlt für Überwachung des Smartphone-Datenverkehrs
Artikel
  1. Vodafone und Telekom: LTE-Ausbau in Berliner Bahntunneln dauert weitere Jahre
    Vodafone und Telekom
    LTE-Ausbau in Berliner Bahntunneln dauert weitere Jahre

    Laut Senatsverwaltung kam der Ausbau der Base-Transceiver-Station-Hotels nicht wie geplant voran. Nicht nur die Kunden von Vodafone und Telekom haben das Nachsehen.

  2. Northrop Grumman: B21 Raider als erster digitaler Bomber vorgestellt
    Northrop Grumman
    B21 Raider als erster digitaler Bomber vorgestellt

    Northrop Grumman hat mit dem B-21 Raider eine neuen Tarnkappenbomber vorgestellt. Dabei kamen agile Softwareentwicklung und digitales Engineering zum Einsatz.

  3. Soziale Netzwerke: Liken bei Hasspostings kann strafbar sein
    Soziale Netzwerke
    Liken bei Hasspostings kann strafbar sein

    Facebook-Nutzer, die nicht davor zurückschrecken, diskriminierende oder beleidigende oder Postings zu liken, sollten sich das gut überlegen. Denn das Drücken des Gefällt-mir-Buttons kann hier erhebliche rechtliche Folgen haben.
    Von Harald Büring

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Bundle vorbestellbar • SanDisk Extreme PRO 1TB 141,86€ • Amazon-Geräte bis -53% • Mindstar: Alphacool Eiswolf 2 AiO 360 199€, AMD-Ryzen-CPUs zu Bestpreisen • Alternate: WD_BLACK P10 2TB 76,89€ • Advent-Tagesdeals bei MediaMarkt/Saturn • Thrustmaster Ferrari GTE Wheel 87,60€ [Werbung]
    •  /