Verkada Inc., una empresa de cámaras de seguridad de Silicon Valley, ha sufrido una filtración de datos en la que hackers consiguieron acceder a la transmisión en streaming de 150.000 cámaras de empresas, cárceles, departamentos de policía y escuelas.
La filtración de datos fue llevada a cabo por un “colectivo internacional de hackers” con el propósito de demostrar la facilidad con la que se pueden vulnerar los sistemas, según ha declarado hoy a Bloomberg una portavoz del colectivo, Tillie Kottmann.
Kottmann ha estado vinculada a anteriores hackeos, incluida la divulgación de datos robados a Intel Corp. Kottmann dijo que sus razones para hackear son “mucha curiosidad, luchar por la libertad de información y contra la propiedad intelectual, una gran dosis de anticapitalismo, una pizca de anarquismo – y también es demasiado divertido no hacerlo”.
Kottmann afirma que el hackeo fue relativamente sencillo. El colectivo de hackers obtuvo el nivel de “superadministrador” del sistema de Verkada utilizando un nombre de usuario y una contraseña que supuestamente encontraron públicamente en Internet. Según otras versiones, la brecha se produjo como resultado de una campaña de ingeniería social combinada con phishing. Una vez obtenido el acceso, entraron en toda la red de la empresa, incluyendo el acceso root a las cámaras, incluidas las de algunos clientes.
Verkada, fundada en 2016 y financiada por empresas de capital riesgo, entre ellas Sequoia Capital, cuenta entre sus clientes a Tesla Inc. y Cloudflare Inc. que vieron comprometidas sus cámaras de seguridad. Otras cámaras de seguridad comprometidas incluyen las pertenecientes a los gimnasios Equinox, Halifax Health en Florida, una estación de policía en Stoughton, Massachusetts, la cárcel del condado de Madison en Huntsville, Alabama, el centro de detención del condado de Graham en Arizona y la escuela primaria Sandy Hook, el lugar de un tiroteo masivo en 2012.
Un representante de Verkada dijo en un comunicado que “hemos desactivado todas las cuentas de administrador interno para evitar cualquier acceso no autorizado” y que “nuestro equipo de seguridad interna y la empresa de seguridad externa están investigando la escala y el alcance de este potencial problema.”
En declaraciones a Diario TI, Asaf Hecht, jefe del equipo de investigación cibernética de CyberArk, señaló: “La posibilidad de atacar los dispositivos de IoT comunes, como las cámaras de seguridad, es algo de lo que hemos estado hablando durante años. Las cámaras, al igual que otros dispositivos de hardware, a menudo se fabrican con contraseñas integradas o codificadas que el cliente rara vez (o nunca) cambia. Aunque no podemos estar seguros de que eso es lo que haya sucedido en este caso, los ataques recientes demuestran la precisión de los atacantes y la capacidad para aprovechar, de manera eficiente, las debilidades que suponen un mayor impacto”.
Hecht agregó: “Según se informa, Verkada adoptó las medidas correctas para deshabilitar todas las cuentas de administrador internas para evitar cualquier acceso no autorizado, aunque, probablemente, fue demasiado tarde. Los atacantes ya habían conseguido acceder. Y parece ser que este ataque sigue una ruta muy utilizada: apuntar a cuentas privilegiadas con gestión de acceso, escalar privilegios para permitir el movimiento lateral y obtener acceso a información y datos altamente confidenciales, completando así el objetivo previsto. En este caso concreto tendremos que prestar especial atención al potencial de implicaciones de gran alcance para las regulaciones de privacidad, incluida la HIPAA”.
Fotografía: Nathy Dog vía Unsplash