Hãng camera bị phạt vì 150.000 thiết bị lộ hình ảnh

Hãng Verkada đã bị kiện và chịu phạt sau khi dữ liệu từ 150.000 camera bị hacker xâm nhập, cho thấy hệ thống bảo mật của họ có nhiều thiếu sót nghiêm trọng.

Sự cố này xảy ra vào năm 2021 và được Ủy ban Thương mại Liên bang Mỹ (FTC) công bố kết quả điều tra vào cuối tuần qua. Verkada bị đề xuất mức phạt lên đến 2,95 triệu USD vì nhiều lỗi bảo mật và quảng cáo sai sự thật liên quan đến các tính năng an toàn của sản phẩm.

Sự cố này xảy ra vào năm 2021 và được Ủy ban Thương mại Liên bang Mỹ (FTC) công bố
Sự cố này xảy ra vào năm 2021 và được Ủy ban Thương mại Liên bang Mỹ (FTC) công bố

Được thành lập vào năm 2016, Verkada hướng tới việc trở thành “hệ thống vận hành tòa nhà an toàn và hiệu quả nhất thế giới”. Sản phẩm của hãng hiện đang được 26.000 tổ chức tại 85 quốc gia sử dụng, trong đó có nhiều doanh nghiệp và tổ chức nhạy cảm như phòng khám sức khỏe phụ nữ, bệnh viện tâm thần, nhà tù và các trường học, bao gồm cả nhà máy sản xuất ôtô Tesla.

Vào tháng 3/2021, nhóm hacker APT-69420 Arson Cats đã khai thác thành công lỗ hổng trong máy chủ hỗ trợ khách hàng của Verkada, cho phép họ truy cập vào 150.000 camera. Từ đó, họ đã trích xuất hàng gigabyte dữ liệu video, ảnh chụp màn hình và thông tin khách hàng. Hacker đã có thể “lùng sục” trong hệ thống nội bộ của Verkada trong nhiều giờ mà không bị phát hiện, thậm chí họ đã chủ động gửi thông tin cho truyền thông và công khai các video làm bằng chứng.

Trước đó, vào năm 2020, Verkada cũng đã bị tấn công bằng mã độc Mirai, dẫn đến một cuộc tấn công từ chối dịch vụ DDoS mà hãng không phát hiện cho đến hai tuần sau khi hệ thống của Amazon Web Services (AWS) nhận thấy có bất thường.

Theo FTC, sự việc này cho thấy các tuyên bố của Verkada về việc sử dụng “công cụ tốt nhất” để bảo vệ dữ liệu khách hàng là hành vi lừa dối và sai sự thật. Các sản phẩm của hãng bị chỉ trích vì thiếu những biện pháp bảo mật cơ bản như yêu cầu sử dụng mật khẩu mạnh, mã hóa dữ liệu khách hàng và thực hiện các biện pháp kiểm soát mạng an toàn.

Verkada tuyên bố “không đồng ý với cáo buộc của FTC, nhưng chấp nhận các điều khoản”. Ngoài khoản tiền phạt, công ty sẽ phải thực hiện một chương trình bảo mật toàn diện và báo cáo định kỳ về tình trạng bảo mật cho một bên thứ ba độc lập. Trong 20 năm tới, họ cũng sẽ phải thông báo cho FTC về mọi sự cố an ninh mạng trong vòng 10 ngày.

Thời gian gần đây, vấn đề bảo mật camera giám sát ngày càng được chú trọng, vì đây là thiết bị quan trọng trong quản lý an ninh và thông minh. Tháng trước, Việt Nam cũng đã đưa ra các tiêu chuẩn khuyến nghị và công bố dự thảo quy chuẩn về an toàn cho camera IP.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *