Hackers afirmam ter acessado imagens de mais de 150 mil câmeras de bancos, prisões, escolas e até mesmo de empresas do porte da Tesla, Cloudfare e Equinox.
Segundo a Bloomberg, os sistemas da Verkada, startup de segurança do Vale do Silício, foram violados por um coletivo "hacktivista". O grupo, que se autodenomina Advanced Persistent Threat 69420, encontrou credenciais de login para as contas de "Super Admin" da Verkada online. Eles divulgaram suas descobertas, dizendo que foram motivados por “muita curiosidade, lutando pela liberdade de informação e contra a propriedade intelectual, uma grande dose de anti-capitalismo, uma pitada de anarquismo - e também porque é muito divertido.”
Funcionários da Verkada, que preferem se manter anônimos, dizem que essas mesmas contas de “superadministrador” que os hackers acessaram, também foram amplamente compartilhadas dentro da própria empresa. Mais de 100 funcionários tinham privilégios de superadministrador, relata a Bloomberg, o que significa que esses indivíduos podiam acessar transmissões ao vivo de dezenas de milhares de câmeras em todo o mundo a qualquer momento. Veja o que um ex-funcionário sênior disse:
Tínhamos literalmente estagiários de 20 anos que tinham acesso a mais de 100.000 câmeras e podiam ver todos os feeds globalmente.
Verkada, por sua vez, alega que o acesso era limitado a funcionários que precisavam corrigir problemas técnicos ou atender a reclamações de usuários e que seu programa de treinamento e suas políticas para funcionários são claros. Os membros da equipe de suporte são obrigados a ter permissão explícita por parte do cliente antes de acessar o feed de vídeo.
Contudo, o Washington Post traz o testemunho do pesquisador de vigilância Charles Rollet, que diz que pessoas próximas a empresa disseram a ele que os funcionários da Verkada podiam acessar feeds sem o conhecimento dos clientes.
As pessoas não percebem o que acontece no back-end e presumem que sempre existem esses processos superformais quando se trata de acessar as filmagens e que a empresa sempre precisará dar consentimento explícito. Mas é claro que nem sempre é o caso.
Por fim, a Verkada em comunicado informa:
Desabilitamos todas as contas de administrador para evitar qualquer acesso não autorizado. Nossa equipe de segurança interna e empresa de segurança externa estão investigando a escala e o escopo deste problema, e as autoridades já foram notificadas.
De qualquer forma, o estrago já estava consumado: os cibercriminosos afirmam ter coletado cerca de 5 GB de dados da empresa.
Proteja seu futuro. Invista em cibersegurança hoje mesmo.
Transforme seu Negócio com Tecnologia de Ponta: Agende sua Tech Demo!
