美国加州安防公司Verkada已同意支付295万美元(约合人民币2099万元)的民事罚款,并将实施一项全面的安全计划。此前2021年,黑客从该公司15万台联网的安全摄像头中窃取了视频,其中一些摄像头安装在精神病医院和妇女健康诊所。
美国联邦贸易委员会(FTC)对Verkada提起的诉讼指出,该公司未能采取适当的信息安全措施,以保护通过其安全摄像头收集的客户和消费者的个人信息。
除了数百万美元的财务罚款外,Verkada和FTC达成的同意令还要求公司实施全面的安全计划,并在未来20年内每年向FTC提交风险评估报告。这项同意令尚需联邦法官批准。
同意令还解决了Verkada涉嫌违反联邦反垃圾邮件法规的指控。该公司通过大量商业电子邮件向潜在客户发送广告,但未提供退订或退出选项。FTC表示,公司未能尊重客户的退订请求,也未在邮件中提供实体邮寄地址。
安全措施存漏洞致使客户摄像头被黑客访问
Verkada的主要产品是支持IP网络的安全摄像头,这些摄像头通过亚马逊云服务(AWS)的云端存储客户数据并保存视频档案。FTC指出,从2019年至2021年,该公司共销售了超过24万台安全摄像头。
据称,Verkada的安全措施存在漏洞,未能要求使用唯一且复杂的密码,未能充分加密客户数据,且未能实施安全的网络控制。因此,在2020年12月至2021年3月期间,Verkada至少发生了两次安全入侵事件。
2021年3月,一名黑客从超过15万台联网的Verkada摄像头中获取了视频录像及其他客户信息,如物理地址、音频记录和客户的Wi-Fi凭据。
FTC表示:“入侵者访问了超过15万台实时监控的客户摄像头,观看了精神病医院的病人(包括躺在病床上的病人)、妇女健康诊所、在房间内玩耍的小孩和被监禁者在牢房内的画面等。”
FTC还指出,2020年12月,一名黑客利用了旧版固件构建服务器中的安全漏洞,而这一漏洞的出现是因为一名员工未能恢复服务器的原始安全设置所致。“黑客在服务器上安装了Mirai僵尸网络软件,并进行恶意活动,包括将服务器武器化,对其他第三方互联网地址发起拒绝服务攻击。Verkada在AWS安全部门标记出这些活动两周多后,才意识到服务器已被入侵。”
FTC表示安防摄像头收集的数据存在用户敏感信息
Verkada在8月30日发表的声明中表示,公司不同意FTC的指控,但接受了和解条款,“以便我们能够继续推进使命,并专注于保护人们和场所的隐私。”
声明中还写道:“我们将继续优先加强Verkada的数据安全态势。”
FTC在诉状中表示,Verkada收集并维护了各种客户信息,包括姓名、物理地址、客户用户名和密码哈希值、客户站点平面图以及客户的Wi-Fi凭据。
FTC还指出,Verkada安全摄像头收集的视频录像“可能包括消费者影像,以及其他敏感的消费者个人信息,例如可见的医疗记录。”
FTC表示:“许多此类消费者的影像本质上具有敏感性,因为一个人在特定地点的出现必然会揭示其个人信息。例如,某个消费者出现在精神病医院的画面直接说明该消费者正在寻求心理健康服务。”
除了实时监控功能外,Verkada的安全摄像头还具备“人物分析”功能,允许客户查看所有被其安全摄像头录制或上传到公司Command平台的消费者高清图像。用户可以通过性别或衣服颜色筛选图像,并通过面部识别或脸部匹配技术搜索图像。
FTC以5比0的投票结果支持了前述同意令。
参考资料:https://www.govinfosecurity.com/verkada-agrees-to-295m-civil-penalty-after-hacks-a-26179