Этот случай ярко демонстрирует, насколько критически важно для любой организации уделять приоритетное внимание вопросам кибербезопасности в сегодняшнем мире. Хакеры получили несанкционированный доступ к учетной записи «суперадмина» во внутренней сети компании Verkada, специализирующейся на предоставлении услуг видеонаблюдения для сотен крупных компаний, таких как Tesla, и государственных учреждений, включая тюрьмы, больницы, клиники и полицейские участки. Данные для доступа были жестко запрограммированы в коде фирменного программного обеспечения, который по ошибке попал в открытый доступ в интернете.
Масштаб произошедшего взлома впечатляет. По словам самих хакеров, они действовали ради развлечения и для того, чтобы продемонстрировать уязвимость людей перед повсеместной слежкой. В качестве доказательства своих слов киберпреступники предоставили нескольким СМИ архив, содержащий изображения и видеофайлы, объемом около пяти гигабайт. Как пишет Bloomberg, в представленных материалах содержатся кадры, полученные из десятков организаций, как частных, так и государственных.
Журналистское расследование подтвердило наличие в архиве большого количества изображений и видеозаписей, сделанных в офисах и на производственных площадках. На одной из видеозаписей видно, как восемь сотрудников медицинского учреждения фиксируют пациента на кровати, а на другой – полицейские в участке беседуют с человеком, находящимся в наручниках. Помимо этого, обнаружены кадры из женских консультаций, школ, отделений интенсивной терапии больниц и шанхайского склада Tesla. Существует видеозапись, сделанная даже из центрального офиса компании Verkada и дома одного из ее сотрудников.
Злоумышленникам удалось получить неограниченный доступ к данным с более чем 150 тысячам камер видеонаблюдения. Особого внимания заслуживает факт получения доступа к 222 камерам, расположенным на промышленных предприятиях и складских комплексах Tesla. Список организаций, чья безопасность оказалась под угрозой, не ограничивается только знаменитым производителем электромобилей. СМИ, получившие архив с подтверждением взлома, смогли установить соответствие мест съемок с большим числом клиентов Verkada, упомянутых на официальном сайте компании.
Безудержное веселье IT-специалиста
Репортер CBS News Дэн Паттерсон (Dan Patterson) в своем Twitter-аккаунте сегодня ночью сообщил, он сообщил, что скачивает архив, но пока не успел его проверить. По словам источника, хакеры, предоставив ссылку, указали, что среди видео есть доказательства жестокого обращения с заключенными в тюрьмах и пациентами в психиатрических учреждениях. Кроме того, Дэн смог пообщаться с одним из взломщиков — известным специалистом по кибербезопасности Тиллем Коттманном ( Tille Kottmann) из Швейцарии. Он рассказал, что международная группа киберпреступников APT 69420 Arson Cats, устройство, в состав которого входит данный компонент, имело доступ к внутренней сети Verkada около 36 часов.
По мнению Коттманна, мотивация хакеров довольно проста: большое любопытство, стремление к свободе информации и протест против защиты интеллектуальной собственности, выраженный антикапитализм и доля анархизма — а еще,
это слишком весело, чтобы не сделать». Он отметил, что на деньги ему плевать и он просто хочет, чтобы мир стал лучше. Ну и в процессе создания этого «лучшего мира», как говорится, грех не повеселиться. Что важно, Тилль попросил заметить — ни он лично, ни APT 69420 в целом не представляют никакую нацию или корпорацию.
Что интересно, Коттманну не грозит уголовное преследование за этот взлом, поэтому он открыто общается с журналистами. Швейцарский уголовный кодекс предусматривает финансовые санкции и лишение свободы за незаконное получение информации через электронные сети, но только в случаях, когда были предприняты меры для ее защиты ( статья в соответствии со статьей 143 бис Уголовного кодекса Швейцарии, поскольку учетные данные оказались в открытом доступе, Тиллю не следует опасаться – ответственность лежит на лице, разместившем их в публичной сфере.
Никаких уязвимостей, просто безалаберность
Наиболее любопытным аспектом является сам способ взлома. Злоумышленники не эксплуатировали известные уязвимости и не применяли методы социальной инженерии. Доступ к учетным данным администратора с максимальными привилегиями был получен благодаря анализу внутренней инфраструктуры разработки Verkada, которую компания не обеспечила надлежащей защитой от внешнего доступа через интернет. В программе присутствовали «жестко закодированные» ( hardcoded) данные для аутентификации, предоставляющие права максимального доступа.
В этом месте необходимо сделать пояснение. Вероятно, в строгом смысле слова ничего не было «жестко закодировано», так как уязвимость вскоре была устранена. Обычно под hardcoded понимается связка логин-пароль или некий токен для авторизации, который «вшит» в низкоуровневое программное обеспечение или даже прямо в архитектуру аппаратного обеспечения. Такие «черные ходы» действительно используются многими производителями оборудования и остаются серьезной угрозой для безопасности. Хотя сильно облегчают работу техподдержки. Однако быстро изменить их крайне трудно, а иногда — вовсе невозможно.
По всей видимости, в данном случае подразумевается использование универсального токена или аутентификационных данных непосредственно в коде программы для целей отладки. Зачастую, невнимательные или недобросовестные разработчики прибегают к такому подходу, чтобы упростить процесс отладки и избежать необходимости повторного ввода учетных данных IT-в просторечии это явление иногда называют «жестким кодированием», хотя это определение не совсем точное. Тем не менее, произошедшее нанесло серьезный ущерб репутации Verkada и стала отличным примером максимально злой иронии. Ведь на официальном сайте компании черным по белому описано, с каким настроем ее создал основатель:
«Безопасность стала для современного бизнеса не дополнительным преимуществом, а обязательным условием»
Реакция
Некоторые компании, ставшие жертвами масштабной утечки данных, уже отреагировали на произошедшее. Представители известной IT-корпорации Cloudflare отметили, что камеры Verkada стоят в офисах, которые давно закрыты из-за коронавирусного локдауна, и никаких личных или просто ценных данных никто не мог заполучить. В Verkada журналистов заверили, что брешь уже прикрыли и проводят всестороннее внутреннее расследование — как с собственной службой безопасности, так и с привлечением внешнего аудитора. От Tesla, пока что комментарии от других компаний, представителей исправительных учреждений и медицинских организаций не поступили.
Они, откровенно говоря, будут необходимы. По крайней мере, в двух ситуациях. В первую очередь, как хакеры, так и журналисты обратили внимание на то, что фирменная технология распознавания лиц, используемая в камерах Verkada была включена для видеонаблюдения в нескольких больницах и женских клиниках. Система позволяет идентифицировать и отслеживать людей по целому ряду внешних параметров, что уже ставит под вопрос врачебную тайну. Во-вторых, в архиве записей одной аризонской тюрьмы обнаружили целую папку с роликами, названия которых вызывают, мягко говоря, подозрения: вроде «Удар ногой с разворота — упс» ( ROUNDHOUSE KICK OOPSIE).