קולקטיב האקרים בשם APT-69420 Arson Cats פרץ לשרתים של חברת Verkada שמספקת שירותי אכסון בענן של מצלמות אבטחה, גנב צילומי אבטחה ופרסם אותם ברשת, מתוך כוונה להראות לציבור עד כמה קל לפגוע בפרטיות של כל אחד מאיתנו.
אז איך זה קרה?
האקטיביסטים איתרו שרת של חברת Verkada, שמספקת שירותי אכסון של מצלמות אבטחה בענן לכ-150,000 לקוחות - בהם בנקים, בתי כלא וגם חברת המכוניות טסלה.
ההאקטיביסטים (לא, זו לא שגיאת כתיב, למקרה שלא הכרתם את המונח) אמרו שהם הורידו חמישה גיגה של הקלטות על מנת להעלות מודעות למה שהם קוראים "מדינת המעקב". טילי קוטמן, האקטיביסט שוויצרי (שפרץ בשנה שעברה לאינטל ושחרר לרשת חלק מקוד המקור שלהם) מסר כי הפריצה בוצעה על ידי השגת פרטי משתמש של סופר-אדמין וכניסה למערכת האכסון של Verkada, שם ראו הפורצים את רשימת הלקוחות ויכלו להגיע להקלטות האבטחה של כולם. חשבון הטוויטר של ההאקטיביסטים הושעה בינתיים, אולם לפני כן הבטיח שישחרר חומרים נוספים תחת ההאשטאג: #OperationPanopticon.
החומרים ששוחררו לא כוללים צילומים מבתים פרטיים, אולם תקריות דומות שאירעו בשנים האחרונות הדגימו עד כמה קל להגיע להשיג צילומים ממצלמות שונות שמחוברות לרשת. בסוף שנת 2020 נחשפה רשת של פושעים שפרצה לעשרות אלפי מצלמות אבטחה ביתיות בסינגפור ובהונג קונג, הקליטה את בני הבית במצבים אינטימיים והעלתה את החומרים המצולמים למכירה בפורומים אינטרנטיים. במקביל, התגלו במקומות שונים בעולם מצלמות רשת ביתיות שלא היו מוגנות בצורה מספקת ואפשרו לתוקפים לצפות בשידור חי מתוך בתי הקורבנות, להקליט את השמע (במידה והמצלמה מצוידת במיקרופון) ואפילו לשנות את הסיסמה של המצלמה כך שהבעלים לא מסוגלים להתחבר אליה יותר.
פריצות אחרות היו פשוטות יותר - טכנאי שהתקין מצלמות אבטחה בבתים של אלפי אנשים בטקסס הואשם והורשע בכך שהוסיף את פרטיו לחשבון של הלקוחות שבבתיהם התקין מצלמות, וכך התחבר ליותר מ-200 בתים ביותר מ-9,000 מקרים כדי לצפות באנשים בסביבתם האינטימית. גם בארץ אירעו מקרים דומים, שהזכור שבהם הוא של טכנאי מחשבים מהשומרון שהואשם בכך שאיתר מצלמות אבטחה מחוברות לרשת, פרץ אליהן, איתר חומרים אינטימיים והוריד אותם למחשבו. הוא פרץ לעשרות מצלמות בשנים 2017-2018 והיה יכול להמשיך בכך, אלמלא פרץ וגנב צילומים של הזמרת עדן בו זקן מחליפה בגדים בחנות בגדי ים. הסרטון האינטימי הודלף וגרם לפתיחת חקירה משטרתית שבסופה נעצר והואשם.
אז מה קורה פה?
בעבר, המצלמות היו מצלמות במעגל סגור, כלומר, הצילום שודר למסך שנמצא באותו בניין. ההקלטות (אם היו) נשמרו על קלטות וידאו באותו אתר. המעבר למצלמות דיגיטליות ופתיחת הקישור לאינטרנט מאפשר להתחבר מכל מקום ולצפות בלייב בוידאו, אבל גם הוסיף סיכון אבטחתי, משום שגורמים אחרים יוכלו גם להתחבר ולצפות ולכן יש להגן על החיבור הזה. הצילומים הוקלטו על מכשיר הקלטה דיגיטאלי מקומי, שאליו גם היה ניתן להתחבר מהרשת.
הדור הנוכחי של מצלמות האבטחה הולך שלב אחד קדימה ומאכסן את הצילומים בענן, כך שהלקוח צריך רק מצלמה וחיבור לאינטרנט, ומשלם על פי נפח האכסון המבוקש. הלקוח צופה בצילום דרך אפליקציה ייעודית. המימוש הזה מאפשר להאקרים לפרוץ למצלמה עצמה, לאפליקציה או לענן שבו מאוכסנים חומרי הצילום. תורמת לכך העובדה שרוב ציוד הצילום מיוצר בסטנדרט אבטחה נמוך במיוחד - מגיע עם סיסמאות ברירת מחדל או ללא סיסמא כלל, מה שמקל על התוקפים לפרוץ אליו. אבל אפילו מצלמות חכמות כגון Nest של חברת גוגל סבלו מפרצות אבטחה שאפשרו לזרים לצפות בצילומים אינטימיים, ועד שלא יהיה תקן עולמי לאבטחה ופרטיות (וכמה מדינות בעולם כבר עובדות על תקינה שכזו) אפשר להניח שתקריות כאלו יחזרו ויישנו.
מה עושים?
אם לא חייבים, לא כדאי להתקין מצלמות ומיקרופונים חכמים במקום שבו הם יכולים להקליט דברים שלא נרצה שאחרים יראו או ישמעו. יש לשנות את סיסמאות המכשירים ברגע ההתקנה ולוודא שגם חשבון הענן שאליו מחוברים מאובטח על ידי סיסמא ייחודית והזדהות דו- שלבית. במקום העבודה ובמקומות ציבוריים יש לפעול על פי החוק שמחייב ליידע אנשים על הימצאות ציוד צילום.
יותם גוטמן הוא מנהל השיווק של חברת הסייבר SentinelOne