• IT-Karriere:
  • Services:

Tesla, Gefängnisse, Ärzte: Verkada ließ selbst Praktikanten auf Kameras zugreifen

Auf die vornehmlich bei Unternehmen wie Tesla eingesetzten Überwachungskameras von Verkada konnten etliche Angestellte zugreifen - per Root-Shell.

Artikel veröffentlicht am ,
Wer da wohl so alles zuschaut?
Wer da wohl so alles zuschaut? (Bild: Verkada)

Die Hacktivisten, die in den vergangenen Tagen auf 150.000 Überwachungskameras des Herstellers Verkada zugreifen konnten, waren nicht die einzigen mit weitreichendem Zugriff auf die Livestreams bei Tesla, Ärzten, Polizeidienststellen oder Gefängnissen: Auch etliche Angestellte bis hin zu Vertriebsmitarbeitern und Praktikanten des Kameraherstellers konnten auf die Kameras zugreifen.

Stellenmarkt
  1. dtms GmbH, Mainz
  2. WINGAS GmbH, Kassel

Allerdings nicht nur auf die Livestreams sowie die archivierten Videos, sondern mittels eines "Super-Admin-Kontos" auf eine Root-Shell direkt auf den Kameras.

"Wir hatten buchstäblich 20-jährige Praktikanten, die Zugriff auf über 100.000 Kameras hatten und alle ihre Feeds weltweit einsehen konnten", sagte eine ehemalige Führungskraft dem Magazin Bloomberg. Die Angestellten wurden angewiesen, die Hintertür nicht an die Kunden zu kommunizieren.

Griffen Verkada-Angestellte auf eine Kamera zu, wurde dies protokolliert. "Niemand kümmerte sich um die Überprüfung der Protokolle", sagte eine ehemalig angestellte Person zu Bloomberg. "Man konnte in diese Notiz schreiben, was immer man wollte; man konnte sogar nur ein einzelnes Leerzeichen eingeben."

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Die Überwachungstechnik von Verkada richtet sich vor allem an Unternehmen und staatliche Einrichtungen. Die Verkada-Webseite listet bekannte Firmen wie Tesla, Citrix oder Cloudflare. Aber auch Polizeidienststellen, Banken und Schulen setzen die Überwachungskameras ein.

Privatsphäre-Modus von Verkada konnte umgangen werden

Ingenieure hätten täglich auf verschiedene Kameras zugegriffen. Vertriebsmitarbeiter hätten laut einem Bericht von Ipvm ebenfalls ihre Zugänge missbraucht, um sexistische Witze über Kolleginnen zu machen.

Internet of Crimes: Warum wir alle Angst vor Hackern haben sollten (Deutsch) Gebundene Ausgabe

Zwar hätten Verkada-Kunden einen Privatsphäre-Modus aktivieren können, der die Kameras vor den Verkada-Angestellten verstecken soll, dieser konnte jedoch mit dem Super-Admin-Konto umgangen werden, sagte die früher angestellte Person. Auch die zum Zugriff notwendige Multi-Faktor-Authentifizierung konnte von den Angestellten einfach deaktiviert werden.

Das Hackerkollektiv, das in den vergangen Tagen auf 150.000 Überwachungskameras von Verkada zugreifen konnte, gab sich ebenfalls als Angestellte aus und nutzte das Super-Admin-Konto. Das Protokollfeld füllten sie dabei mit Begriffen wie "APT-69420" aus. Kontrolliert wurde dies offensichtlich nicht.

Tillie Kottmann, einer der Hacker, die sich zu dem Vorfall bekannt haben, sagte, sie wollten zeigen, wie weit verbreitet die Videoüberwachung ist und wie leicht diese Systeme die vertraulichen Bereiche der Nutzer preisgeben können.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (u. a. Ryzen 7 5800X für 469€)

ElMario 11. Mär 2021 / Themenstart

Hauptsache erstmal haben, lautet die Devise Vielerorts. Seit ungefähr 20 Jahren läuft das...

ElMario 11. Mär 2021 / Themenstart

Erlebe ich tagtäglich...GENAU SO ! :D Man muss sich allerdings etwas zurückhalten mit...

Kommentieren


Folgen Sie uns
       


Peloton - Fazit

Im Video stellt Golem.de-Redakteur Peter Steinlechner das Bike+ von Peloton vor. Mit dem Spinning-Rad können Sportler fast schon ein eigenes Fitnessstudio in ihrer Wohnung einrichten.

Peloton - Fazit Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /