Verkada-beveiligingscamera’s kwetsbaar: honderden bedrijven getroffen

Abonneer je gratis op Techzine!

Door een kwetsbaarheid in de beveiligingscamera’s van Verkada kregen aanvallers toegang tot de beelden. Onder andere Tesla en Cloudflare hebben de camera’s binnen hun panden hangen.

De Zwitserse ontwikkelaar Tillie Kottman ontdekte de kwetsbaarheid. Hij heeft beelden van een Tesla-fabriek in China, een showroom in Californië, een gevangenis in Alabama, ziekenhuizen, een ondervragingsruimte van de politie en een sportschool kunnen laten zien aan Reuters. Ook Cloudflare en Okta gebruiken de camera’s. In totaal waren meer dan 150.000 camera’s toegankelijk en zouden honderden bedrijven getroffen zijn.

Gezichtsherkenning

Kottman werkte samen met kleine groep hackers. De groep zag enkele dagen geleden algemene inloggegevens voor beheerders van Verkada publiekelijk op het internet staan. Met die inloggegevens wou de groep aan de wereld laten zien voor hoeverre de bedrijven hun medewerkers in de gaten houden.

De camera’s van Verkada onderscheiden zich met eenvoudige toegang vanuit de cloud met een uitgebreid overzicht van alle aangesloten camera’s. Optioneel biedt de software ook de mogelijkheid om gezichtsherkenning toe te passen op de mensen die in beeld komen.

Kwetsbaarheid legde ook andere delen van netwerk bloot

Volgens Kottman zorgde de kwetsbaarheid er niet alleen voor dat hackers toegang konden krijgen tot de cloudinterface van de camera’s. Ook andere delen van een bedrijfsnetwerk konden via de camera’s worden aangevallen.

Verkada heeft inmiddels op de kwetsbaarheid gereageerd door alle interne beheerdersaccounts uit te schakelen. Voordat de eerste nieuwsberichten over de kwetsbaarheid werden gepubliceerd, was de toegang voor de hackers al afgesloten.

Cloudflare vertelt dat het bedrijf zijn beveiliging zo heeft opgezet dat verdere toegang tot zijn netwerk niet mogelijk was. Okta onderzoekt het incident, maar benadrukt dat zijn diensten niet zijn aangetast. Tesla heeft niet gereageerd op vragen van Reuters, zo ook de Madison County Jail in Alabama, Bay Club en Virgin Hyperloop.

Tip: Axis opereert weer als IT-bedrijf, focus op oplossingen