Beveiligingscamera filmt hal van een kantoor
© alice-photo/Shutterstock.com
Geen AI: al onze artikelen zijn geschreven door echte mensen, zonder gebruik van AI
Inhoudsopgave

Een groep hackers wist toegang te verschaffen tot het interne netwerk van de Amerikaanse startup Verkada. Zodoende hadden ze toegang tot de beelden van 150.000 beveiligingscamera’s die bij grote bedrijven als Tesla en Cloudflare hingen. Ook wisten ze in te breken bij videoarchieven van alle klanten van Verkada. Om te voorkomen dat ongeautoriseerde mensen de beelden kunnen bekijken, heeft Verkada alle interne beheerdersaccounts uitgeschakeld.

Dat schrijft persbureau Bloomberg.

Zo kraakten de hackers de beveiliging van Verkada

Het datalek werd aan de kaak gesteld door een internationaal hackerscollectief, die ook wel beter bekend staat als Advanced Persistent Threat 69420. Door de beveiliging van Verkada te kraken, wilden de hackers aantonen hoe gebrekkig de getroffen beveiligingsmaatregelen waren. Ook wilden de aanvallers aandacht vragen voor de doordringendheid van beveiligingscamera’s.

Tillie Kottmann, een ontwikkelaar die betrokken is bij de hackersgroep, vertelt tegenover Bloomberg dat de hackers root-toegang kregen tot de beveiligingscamera’s door in te breken op een ‘super admin account’. De gebruikersnaam en het wachtwoord van dit account waren op internet te vinden. Eenmaal ingelogd hadden de daders toegang tot de beveiligingscamera’s van alle klanten van Verkada.

Volgens Kottmann laat de hack zien “hoe breed we in de gaten worden gehouden, en hoe weinig zorg er wordt besteed aan het beveiligen van platforms die daarvoor worden gebruikt”. Winst is in haar ogen de enige doelstelling van bedrijven als Verkada. “Het is te gek voor woorden hoe ik alles kan zien waarvan we altijd wisten dat het gebeurde, maar nooit te zien kregen”, aldus de ontwikkelaar.

Hackers konden meekijken bij gevangenissen, scholen en ziekenhuizen

Eén van de bedrijven waar de hackers ongemerkt konden meekijken, was bij Tesla. De autofabrikant heeft 222 beveiligingscamera’s van verkada hangen in zijn fabrieken en magazijnen. Een gevangenis in de Amerikaanse staat Alabama had 330 camera’s afgenomen. Een deel daarvan is bovendien uitgerust met gezichtsherkenningstechnologie om gevangenen in het complex te kunnen volgen en identificeren. Ook bij internetbedrijf Cloudflare konden de hackers de beelden van de camera’s aftappen.

De hackers konden niet alleen meekijken bij fabrieken, magazijnen, kantoren en gevangenissen. Bloomberg bevestigt dat ze ook toegang hadden tot de camera’s van politiebureaus, scholen, sportcentra en ziekenhuizen. Volgens het persbureau gaat het om hoge beeldkwaliteit: de meeste video’s waren in 4K opgenomen.

Naast live videobeelden hadden de hackers ook toegang tot het videoarchief van Verkada-klanten. Bedrijfsgevoelige informatie van Verkada lag eveneens voor het oprapen. Zo konden de aanvallers een overzicht downloaden met daarop alle klantgegevens, financiële gegevens van Verkada en lijsten met daarop alle bedrijfsmiddelen.

Verkada treft maatregelen om herhaling te voorkomen

Bloomberg vroeg aan Verkada om te reageren op het voorval. Een woordvoerder van het bedrijf laat weten alle interne beheerdersaccounts zijn uitgeschakeld om ongeautoriseerde toegang te voorkomen. “Ons interne veiligheidsteam en een extern beveiligingsfirma onderzoeken de omvang en de reikwijdte van deze kwestie”, laat de woordvoerder weten. De politie is eveneens op de hoogte van het datalek.

Een anonieme bron zegt dat de Chief Information Security Officer (CISO) van Verkada de kwestie onderzoekt. Het bedrijf is volgens hem bezig om alle klanten te informeren over het datalek. Ook wordt er een helpdesk opgezet om vragen van bezorgde klanten te beantwoorden.

Update (19 maart 2021): het Amerikaanse ministerie van Justitie heeft een 21-jarige man uit Zwitserland aangehouden. Volgens de openbaar aanklager heeft hij zich schuldig gemaakt aan het stelen van inloggegevens en data. Ook zou hij vertrouwelijke gegevens hebben gestolen en gepubliceerd en zich schuldig hebben gemaakt aan computervredebreuk en identiteitsfraude.

“Zijn acties vergroten de kwetsbaarheid van iedereen, van grote bedrijven tot individuele consumenten.  Door te wijzen naar een altruïstisch motief, doet niets af aan de criminele stank van inbraak, diefstal en fraude”, aldus de openbaar aanklager. Als hij schuldig wordt bevonden, kan hij tot twintig jaar gevangenisstraf krijgen.

Verkada was overigens niet het enige doelwit van de verdachte. Volgens het ministerie van Justitie heeft hij sinds 2019 bij tientallen bedrijven ingebroken, waaronder bij een autofabrikant en investeringsbedrijf.

Laat een reactie achter