Hacker haben einem Medienbericht zufolge 150.000 Überwachungskameras des US-Unternehmens Verkada unter anderem in Krankenhäusern, Gefängnissen, Schulen und Polizeirevieren angezapft. Betroffen waren auch Unternehmen wie der Elektroauto-Hersteller Tesla und die IT-Sicherheitsfirma Cloudflare, wie der Finanzdienst Bloomberg in der Nacht auf Mittwoch berichtete.
Videos aus der Tesla-Fabrik
So hätten die Hacker Aufnahmen vom Tesla-Standort Schanghai vorgeführt. Die Hacker zeigten Bloomberg dem Bericht zufolge Aufnahmen aus einem Polizeirevier im US-Bundesstaat Massachusetts, einem Gefängnis in Alabama und einem Krankenhaus in Florida.
In dem Gefängnis sei es ihnen gelungen, 330 Kameras anzuzapfen. Bei Tesla seien es 222 Kameras gewesen. Sie hätten sich auch Zugang zum Videoarchiv der Verkada-Kunden verschafft. Dass gespeicherte interne Aufnahmen nicht ausschließlich für das Unternehmen oder die Einrichtung selbst zugänglich sind, ist eher ungewöhnlich.
Hack mit großen Kunden
Das kalifornische Start-up Verkada, von dem die Kameras stammen, teilte Bloomberg in einer ersten Reaktion mit, man untersuche "das Ausmaß des potenziellen Problems". Es passiert zwar immer wieder, dass Bilder von günstigen Sicherheitskameras für den Haushalt abgegriffen werden – vor allem wenn die Nutzer nicht die voreingestellten Standard-Passwörter der Geräte ersetzen. Dass ein Unternehmen mit großen Kunden gehackt wurde, das speziell mit mehr Sicherheit durch Gesichtserkennung warb, ist dagegen außergewöhnlich.
Zugang via Admin-Account
Die Hacker fanden nach eigenen Angaben Zugangsdaten für einen Administrator-Account mit weitreichendem Zugriff öffentlich erreichbar im Internet. Als "Super-Administrator" habe man eine Vielzahl von Kameras anzapfen können. Die Hacker hätten den Zugang verloren, nachdem Bloomberg eine Anfrage beim Unternehmen zu dem Thema gestellt hatte.
Verkada bietet optionale Gesichtserkennung
Ein Bericht von "The Verge" zitiert den am Hack beteiligten Tillie Kottmann, laut dem der Hack demonstrieren sollte, wie weitverbreitet die Kameras des Unternehmens sind – und wie leicht es sei, diese zu hacken.
Verkada selbst brüstet sich damit, mit dem Internet verbundene Sicherheitskameras anzubieten, und verspricht einen "Software-first-Ansatz" aus dem Silicon Valley, um die Sicherheit "so nahtlos und modern wie die Organisationen zu machen, die wir schützen." Die mit der Cloud verbundenen Kameras verfügen über eine webbasierte Schnittstelle, über die Unternehmen ihre Feeds überwachen können, und bieten (optional) auch Gesichtserkennungssoftware.
Sexuelle Belästigung
Das Unternehmen ist dem Bericht von "The Verge" zufolge auch wegen Vorwürfen des Sexismus und der Diskriminierung unter Beschuss geraten, nachdem ein Vertriebsleiter 2019 die Sicherheitskameras im Büro von Verkada dazu genutzt hatte, Mitarbeiterinnen zu belästigen, indem er sie heimlich fotografierte und die Fotos in einem Slack-Kanal des Unternehmens veröffentlichte.
Als Reaktion auf diesen Vorfall stellte der CEO von Verkada die Mitglieder des Slack-Kanals vor die Wahl, das Unternehmen zu verlassen oder ihre Aktienoptionen zu kürzen. (APA, red, 10.3.2021)