Tesla, Gefängnisse, Ärzte: Verkada ließ selbst Praktikanten auf Kameras zugreifen

Auf die vornehmlich bei Unternehmen wie Tesla eingesetzten Überwachungskameras von Verkada konnten etliche Angestellte zugreifen - per Root-Shell.

Artikel veröffentlicht am ,
Wer da wohl so alles zuschaut?
Wer da wohl so alles zuschaut? (Bild: Verkada)

Die Hacktivisten, die in den vergangenen Tagen auf 150.000 Überwachungskameras des Herstellers Verkada zugreifen konnten, waren nicht die einzigen mit weitreichendem Zugriff auf die Livestreams bei Tesla, Ärzten, Polizeidienststellen oder Gefängnissen: Auch etliche Angestellte bis hin zu Vertriebsmitarbeitern und Praktikanten des Kameraherstellers konnten auf die Kameras zugreifen.

Stellenmarkt
  1. Service Engineer (Incident- & Problemmanager) - Specialist (m/w/d)
    Vodafone GmbH, Eschborn, Unterföhring, Stuttgart, Düsseldorf
  2. IT-Security-Analyst (w/m/d) im Referat OC 13 (Erstellung und Anpassung von Signaturen)
    Bundesamt für Sicherheit in der Informationstechnik, Bonn
Detailsuche

Allerdings nicht nur auf die Livestreams sowie die archivierten Videos, sondern mittels eines "Super-Admin-Kontos" auf eine Root-Shell direkt auf den Kameras.

"Wir hatten buchstäblich 20-jährige Praktikanten, die Zugriff auf über 100.000 Kameras hatten und alle ihre Feeds weltweit einsehen konnten", sagte eine ehemalige Führungskraft dem Magazin Bloomberg. Die Angestellten wurden angewiesen, die Hintertür nicht an die Kunden zu kommunizieren.

Griffen Verkada-Angestellte auf eine Kamera zu, wurde dies protokolliert. "Niemand kümmerte sich um die Überprüfung der Protokolle", sagte eine ehemalig angestellte Person zu Bloomberg. "Man konnte in diese Notiz schreiben, was immer man wollte; man konnte sogar nur ein einzelnes Leerzeichen eingeben."

Golem Akademie
  1. Penetration Testing Fundamentals: virtueller Zwei-Tage-Workshop
    17.–18. Januar 2022, Virtuell
  2. AZ-104 Microsoft Azure Administrator: virtueller Vier-Tage-Workshop
    13.–16. Dezember 2021, virtuell
Weitere IT-Trainings

Die Überwachungstechnik von Verkada richtet sich vor allem an Unternehmen und staatliche Einrichtungen. Die Verkada-Webseite listet bekannte Firmen wie Tesla, Citrix oder Cloudflare. Aber auch Polizeidienststellen, Banken und Schulen setzen die Überwachungskameras ein.

Privatsphäre-Modus von Verkada konnte umgangen werden

Ingenieure hätten täglich auf verschiedene Kameras zugegriffen. Vertriebsmitarbeiter hätten laut einem Bericht von Ipvm ebenfalls ihre Zugänge missbraucht, um sexistische Witze über Kolleginnen zu machen.

Internet of Crimes: Warum wir alle Angst vor Hackern haben sollten (Deutsch) Gebundene Ausgabe

Zwar hätten Verkada-Kunden einen Privatsphäre-Modus aktivieren können, der die Kameras vor den Verkada-Angestellten verstecken soll, dieser konnte jedoch mit dem Super-Admin-Konto umgangen werden, sagte die früher angestellte Person. Auch die zum Zugriff notwendige Multi-Faktor-Authentifizierung konnte von den Angestellten einfach deaktiviert werden.

Das Hackerkollektiv, das in den vergangen Tagen auf 150.000 Überwachungskameras von Verkada zugreifen konnte, gab sich ebenfalls als Angestellte aus und nutzte das Super-Admin-Konto. Das Protokollfeld füllten sie dabei mit Begriffen wie "APT-69420" aus. Kontrolliert wurde dies offensichtlich nicht.

Tillie Kottmann, einer der Hacker, die sich zu dem Vorfall bekannt haben, sagte, sie wollten zeigen, wie weit verbreitet die Videoüberwachung ist und wie leicht diese Systeme die vertraulichen Bereiche der Nutzer preisgeben können.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Fälschung
Wieder Abmahnungen wegen Youporn-Streaming

Diesmal hat sich ein besonders dummer Betrüger an Abmahnungen zum Streaming bei Youporn versucht. In dem Brief stimmt fast keine Angabe.

Fälschung: Wieder Abmahnungen wegen Youporn-Streaming
Artikel
  1. Deutsche Telekom: Netflix, Facebook und Amazon sollen für Netzausbau zahlen
    Deutsche Telekom
    Netflix, Facebook und Amazon sollen für Netzausbau zahlen

    Deutsche Telekom, Vodafone und 11 weitere große europäische Netzbetreiber wollen jetzt Geld von den Content-Konzernen aus den USA sehen.

  2. Telekom-Internet-Booster: Feldtest bringt über 600 statt 50 MBit/s ins Haus
    Telekom-Internet-Booster
    Feldtest bringt über 600 statt 50 MBit/s ins Haus

    Die Telekom beginnt mit 5G DSL. Dafür wird im Haushalt eine Außenantenne benötigt.

  3. 800 MHz: Bundesnetzagentur dürfte nächste Auktion absagen
    800 MHz
    Bundesnetzagentur dürfte nächste Auktion absagen

    1&1 wird sich das neue Vorgehen nicht gefallen lassen. 800 MHz bietet wichtige Flächenfrequenzen auf dem Lande.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Heute ist Cyber Monday • AMD Ryzen 7 5800X 348€ • 3 für 2: Star Wars & Marvel • Bis 300€ Direktabzug auf TVs, Laptops uvm. • Bis 50% auf beyerdynamic + Gratis-Kopfhörer • Cyber Monday bei MM/Saturn (u. a. Xiaomi 11 Lite 5G 299€) • Alternate (u. a. be quiet CPU-Kühler 29,99€) [Werbung]
    •  /