Co się stało po tym, jak badacze bezpieczeństwa odkryli, że 60 kamer Flock transmituje na żywo do Internetu
Kilka miesięcy temu YouTuber Benn Jordan „znalazł luki w zabezpieczeniach niektórych kamer z czytnikiem tablic rejestracyjnych firmy Flock” – relacjonuje Jason Koebler z 404 Media. „Skontaktował się ze mną, aby powiedzieć, że dowiedział się, że niektóre kamery Condor firmy Flock transmitowały na żywo do otwartego Internetu”. Doprowadziło to do powstania niezwykłego artykułu, w którym Koebler potwierdził naruszenie, odwiedzając kamerę monitorującą Flock zamontowaną na kalifornijskiej sygnalizacji świetlnej. („Na telefonie obserwuję siebie w czasie rzeczywistym, gdy kamera nagrywa i transmituje mnie na żywo – bez hasła ani loginu – do otwartego Internetu… Setki mil stąd moi koledzy też zdalnie mnie obserwują za pośrednictwem odsłoniętego kanału.”) Flock pozostawił transmisje na żywo i administracyjne panele sterowania dla co najmniej 60 kamer Condor obsługujących sztuczną inteligencję w całym kraju wystawionych na działanie otwartego Internetu, gdzie każdy może je oglądać, pobierać archiwum wideo z 30 dni i zmieniać ustawienia, przeglądać pliki dziennika i uruchamiać diagnostyka. W przeciwieństwie do wielu kamer firmy Flock, które zaprojektowano do rejestrowania tablic rejestracyjnych przejeżdżających osób, kamery Condor firmy Flock to kamery PTZ, przeznaczone do rejestrowania i śledzenia ludzi, a nie pojazdów. Kamery Condor można ustawić tak, aby automatycznie przybliżały twarze ludzi… Materiał został pierwotnie odkryty przez YouTubera i technologa Benna Jordana i został udostępniony badaczowi bezpieczeństwa Jonowi „GainSec” Gainesowi, który niedawno znalazł liczne luki w kilku innych modelach kamer z automatycznym czytnikiem tablic rejestracyjnych (ALPR) firmy Flock. Jordan pojawił się w tym tygodniu jako gość na kanale Koeblera w serwisie YouTube, natomiast Jordan opublikował własny film opisujący to przeżycie. zatytułowany „Zhakowaliśmy fotoradary w stadzie w mniej niż 30 sekund”. (Dziękujemy firmie Slashdot Reader Beadon za udostępnienie linku). Jednak trzy tygodnie temu Jordan i 404 Media wspólnie nakręciły kolejny film zatytułowany „Wyciek kamery Flock jest jak Netflix dla prześladowców”, zawierający materiał, który jego zdaniem był „całkowicie dostępny w czasie, gdy Flock Safety informował miasta, że urządzenia są bezpieczne po ich wdrożeniu”. W filmie potępia miasta „zbyt leniwe, aby przeprowadzić własny audyt bezpieczeństwa lub zbadać porównanie skuteczności w stosunku do ryzyka”, ale nazywa też słabe bezpieczeństwo „problemem całej branży”. Jordan wyjaśnia na filmie, jak „bardzo łatwo znalazł interfejsy administracyjne dla kilkudziesięciu kamer monitorujących Flock…”, ale także wyjaśnia, co stało się później: żadne dane ani nagrania wideo nie zostały zaszyfrowane. Nie była wymagana nazwa użytkownika ani hasło. Wszystko to było widoczne publicznie, aby świat mógł je zobaczyć… Wprowadzanie jakichkolwiek modyfikacji w kamerach jest nielegalne, więc tego nie zrobiłem. Miałem jednak możliwość usunięcia dowolnego materiału wideo lub dowodów, po prostu naciskając przycisk. Widziałem ścieżki, w których znajdowały się wszystkie akta dowodowe w systemie plików… W trakcie i po procesie prowadzenia tego badania i kręcenia tego filmu odwiedziła mnie policja, a przed moim domem kazali – jak sądziłem – prywatni detektywi, fotografujący mnie i moją własność oraz przeszkadzający moim sąsiadom. John Gaines lub GainSec, mózgi większości tych badań, stracił pracę w ciągu 48 godzin od opublikowania filmu. A smutna rzeczywistość jest taka, że nie postrzegam tych rzeczy jako konsekwencji ani kary za badanie luk w zabezpieczeniach. Postrzegam to jako konsekwencje i karę za robienie tego w sposób etyczny i przejrzysty. Skontaktowały się ze mną osoby z samorządów miejskich lub komunikujące się z nimi, które uznały moje filmy za dotyczące tych filmów, i podzieliły się ze mną odpowiedzią Flock Safety. Firma twierdziła, że urządzenia pokazane w moim filmie nie odpowiadają standardom bezpieczeństwa urządzeń wdrażanych publicznie. Dyrektor generalny opublikował nawet post na LinkedIn, w którym pochwalił się polityką bezpieczeństwa Flock Safety. Dlatego formalnie i publicznie zaoferowałem, że osobiście sfinansuję badania nad bezpieczeństwem w ekosystemie wdrożonym przez Flock Safety. Ale prawo zabrania mi dotykania ich urządzeń pod napięciem. Potrzebowałem więc tylko ich pozwolenia, żeby nie zostać aresztowanym. Byłem nawet skłonny pozwolić im nadzorować te badania. Nie dostałem żadnej odpowiedzi. Zamiast tego przeczytał oficjalną odpowiedź Flocka skierowaną do grupy badawczej z branży bezpieczeństwa/inwigilacji – stojąc przed jedną z ich kamer bezpieczeństwa i przesyłając strumieniowo swój odczyt do publicznego Internetu. „Równie dobrze. Zapłaciłem za to z moich podatków.” „Flock angażuje się w ciągłą poprawę bezpieczeństwa…”
已Opublikowany: 2026-01-17 17:34:00
źródło: yro.slashdot.org
