Un grupo de piratas informáticos obtuvo un enorme volumen de datos de cámaras de seguridad recopilados por la startup Verkada, incluidas transmisiones en vivo de 150,000 cámaras de vigilancia dentro de hospitales, empresas, departamentos de policía, prisiones y escuelas.
Las empresas cuyas imágenes fueron expuestas incluyen al fabricante de autos Tesla y al proveedor de software Cloudfare.
Además, informaron que pudieron ver videos desde el interior de clínicas de salud para mujeres, hospitales psiquiátricos y las oficinas de Verkada.
Algunas de las cámaras, incluso en hospitales, utilizan tecnología de reconocimiento facial para identificar y categorizar a las personas capturadas en las imágenes. Los piratas también dicen que tienen acceso al archivo de video completo de todos los clientes de Verkada.
Una cámara Verkada dentro del hospital de Florida Halifax Health, mostró lo que parecían ser ocho empleados del hospital abordando a un hombre e inmovilizándolo contra una cama. Halifax Health aparece en el sitio web público de Verkada en un caso de estudio titulado ‘Cómo un proveedor de atención médica de Florida actualizó e implementó fácilmente un sistema de seguridad escalable compatible con HIPAA’.
Otro video, grabado dentro de un almacén de Tesla en Shanghai, muestra a trabajadores en una línea de ensamblaje. Los piratas dijeron que tuvieron acceso a 222 cámaras en las fábricas y almacenes de Tesla.
La violación de datos fue llevada a cabo por un colectivo internacional de piratas informáticos que tenían la intención de mostrar la omnipresencia de la videovigilancia y la facilidad con la que se podían ingresar a los sistemas, dijo Tillie Kottman, una de las piratas informáticas, se atribuyó el mérito de violar las instalaciones de San Mateo, California Verkada.
Kottman se atribuyó anteriormente el mérito de piratear al fabricante de chips Intel y el fabricante de automóviles Nissan. Además dijo que sus razones para piratear son ‘mucha curiosidad, luchar por la libertad de información y contra la propiedad intelectual; una gran dosis de anticapitalismo, una pizca de anarquismo y también diversión’.
Las imágenes muestran cámaras dentro de la cárcel, algunas de las cuales están ocultas dentro de ductos de ventilación, termostatos y desfibriladores, rastrean a los reclusos y al personal penitenciario, utilizando tecnología de reconocimiento facial.
Los piratas dicen que pudieron acceder las transmisiones en vivo y videos archivados, en algunos casos incluyendo audio, de entrevistas entre oficiales de policía y sospechosos de delitos, todo en alta definición.
Kottman dijo que su grupo pudo obtener acceso de raíz a las cámaras, lo que significa que podían usar las cámaras para ejecutar su propio código. Ese acceso podría, en algunos casos, permitirles girar y obtener acceso a la red corporativa más amplia de los clientes de Verkada, o secuestrar las cámaras y usarlas con plataforma para lanzar futuros ataques.
‘Obtener este grado de acceso a la cámara no requirió ningún pirateo adicional, ya que era una función incorporada’, dijo Kottman.
Los métodos de los piratas no eran sofisticados: tuvieron acceso a Verkada a través de una cuenta de ‘súper administrador’, lo que les permitió ver las cámaras de todos sus clientes.
El saqueo expone ‘cuán ampliamente estamos siendo vigilados y cuán poco cuidado se pone al menos en asegurar las plataformas utilizadas para hacerlo, buscando nada más que ganancias’, dijo Kottman. ‘Es increíble cómo puedo ver las cosas que siempre supimos que estaban sucediendo, pero que nunca llegamos a ver’. Kottman dijo que obtuvieron acceso al sistema de Verkada el lunes por la mañana.
Kottman agregó que encontraron un nombre de usuario y una contraseña para una cuenta de administrador expuesta públicamente en Internet. Después de que Bloomberg se puso contento con Verkada, los piratas informáticos perdieron el acceso a las fuentes de vídeo y los archivos.
Verkada, fundada en 2016, vende cámaras de seguridad a las que los clientes pueden acceder y administrar a través de la web. En enero de 2020, recaudó 80 millones de dólares de fondos de capital de riesgo, valorando a la compañía en 1.6 mil millones de dólares.
Entre los inversionistas se encontraba Sequoia Capital, una de las firmas más antiguas de Silicon Valley.
Kottman dijo que pudieron descargar la lista completa de miles de clientes de Verkada así como el balance general de la empresa, que enumera los activos y pasivos. Como empresa de capital cerrado, Verkada no publica sus estados financieros. Kottmann agregó que los piratas observaron a través de la cámara de un empleado de Verkada que había instalado dentro de su casa. Uno de los clips guardados de la cámara muestra al empleado completando el rompecabezas con su familia.
Los piratas también tuvieron acceso a las cámaras de Verkada en las oficinas de Cloudflare en San Francisco, Austin, Londres y Nueva York. Las cámaras de la sede de Cloudfare se basan en el reconocimiento facial, según las imágenes vistas por Bloomberg.
Las cámaras de seguridad y la tecnología de reconocimiento facial se utilizan a menudo dentro de las oficinas corporativas y las fábricas, para proteger la información para que hinchada y protegerse contra una amenaza interna, dijo Eva Galperin de la EFF.
‘Hay muchas razones legítimas para tener vigilancia dentro de una empresa. La parte más importante es tener el consentimiento informado de sus empleados. Por lo general esto se hace dentro del manual del empleado, que nadie lee’, agregó Galperin.
