Tesla, Gefängnisse, Ärzte: Verkada ließ selbst Praktikanten auf Kameras zugreifen

Die Hacktivisten, die in den vergangenen Tagen auf 150.000 Überwachungskameras des Herstellers Verkada zugreifen konnten, waren nicht die einzigen mit weitreichendem Zugriff auf die Livestreams bei Tesla, Ärzten, Polizeidienststellen oder Gefängnissen: Auch etliche Angestellte bis hin zu Vertriebsmitarbeitern und Praktikanten des Kameraherstellers konnten auf die Kameras zugreifen.

Stellenmarkt

1. dtms GmbH, Mainz
2. WINGAS GmbH, Kassel

Allerdings nicht nur auf die Livestreams sowie die archivierten Videos, sondern mittels eines "Super-Admin-Kontos" auf eine Root-Shell direkt auf den Kameras.

"Wir hatten buchstäblich 20-jährige Praktikanten, die Zugriff auf über 100.000 Kameras hatten und alle ihre Feeds weltweit einsehen konnten", sagte eine ehemalige Führungskraft dem Magazin Bloomberg. Die Angestellten wurden angewiesen, die Hintertür nicht an die Kunden zu kommunizieren.

Griffen Verkada-Angestellte auf eine Kamera zu, wurde dies protokolliert. "Niemand kümmerte sich um die Überprüfung der Protokolle", sagte eine ehemalig angestellte Person zu Bloomberg. "Man konnte in diese Notiz schreiben, was immer man wollte; man konnte sogar nur ein einzelnes Leerzeichen eingeben."

Die Überwachungstechnik von Verkada richtet sich vor allem an Unternehmen und staatliche Einrichtungen. Die Verkada-Webseite listet bekannte Firmen wie Tesla, Citrix oder Cloudflare. Aber auch Polizeidienststellen, Banken und Schulen setzen die Überwachungskameras ein.

Privatsphäre-Modus von Verkada konnte umgangen werden

Ingenieure hätten täglich auf verschiedene Kameras zugegriffen. Vertriebsmitarbeiter hätten laut einem Bericht von Ipvm ebenfalls ihre Zugänge missbraucht, um sexistische Witze über Kolleginnen zu machen.

Internet of Crimes: Warum wir alle Angst vor Hackern haben sollten (Deutsch) Gebundene Ausgabe

Zwar hätten Verkada-Kunden einen Privatsphäre-Modus aktivieren können, der die Kameras vor den Verkada-Angestellten verstecken soll, dieser konnte jedoch mit dem Super-Admin-Konto umgangen werden, sagte die früher angestellte Person. Auch die zum Zugriff notwendige Multi-Faktor-Authentifizierung konnte von den Angestellten einfach deaktiviert werden.

Das Hackerkollektiv, das in den vergangen Tagen auf 150.000 Überwachungskameras von Verkada zugreifen konnte, gab sich ebenfalls als Angestellte aus und nutzte das Super-Admin-Konto. Das Protokollfeld füllten sie dabei mit Begriffen wie "APT-69420" aus. Kontrolliert wurde dies offensichtlich nicht.

Tillie Kottmann, einer der Hacker, die sich zu dem Vorfall bekannt haben, sagte, sie wollten zeigen, wie weit verbreitet die Videoüberwachung ist und wie leicht diese Systeme die vertraulichen Bereiche der Nutzer preisgeben können.