Hoa KỳVerkada đã bị kiện và phạt sau khi dữ liệu từ 150.000 camera bị tin tặc truy cập, cho thấy hệ thống này thiếu các biện pháp bảo mật cơ bản.
Vụ việc xảy ra vào năm 2021 và Ủy ban Thương mại Liên bang Hoa Kỳ (FTC) đã công bố kết quả điều tra vào cuối tuần qua. Verkada bị đề xuất phạt 2,95 triệu USD vì nhiều lỗi an toàn và quảng cáo sai sự thật về tính năng an toàn.
Hãng camera của Mỹ ra đời vào năm 2016 với mục tiêu trở thành “hệ điều hành tòa nhà an toàn và hiệu quả nhất thế giới”. Theo quảng cáo trên trang web, sản phẩm của Verkada được 26.000 tổ chức tại 85 quốc gia sử dụng. Nhiều doanh nghiệp và tổ chức, bao gồm cả những cơ sở đề cao quyền riêng tư như phòng khám sức khỏe phụ nữ, bệnh viện tâm thần, nhà tù và trường học, bao gồm cả nhà máy sản xuất ô tô Tesla, đều được trang bị camera giám sát của công ty.
Vào tháng 3 năm 2021, nhóm hack APT-69420 Arson Cats đã khai thác thành công lỗ hổng trong máy chủ hỗ trợ khách hàng Verkada, nơi cung cấp quyền truy cập cho quản trị viên. Họ đã xâm nhập vào 150.000 nguồn cấp dữ liệu camera trực tiếp, trích xuất hàng gigabyte cảnh video, ảnh chụp màn hình và thông tin chi tiết về khách hàng.
Theo hồ sơ vào thời điểm đó, các hacker đã “lang thang” bên trong hệ thống nội bộ của Verkada trong nhiều giờ mà không gặp bất kỳ biện pháp ngăn chặn nào. Sau đó, họ chủ động gửi thông tin tới giới truyền thông và tung video làm bằng chứng.
Trước đó, vào năm 2020, hacker cũng đã cài đặt mã độc Mirai trên Verkada để thực hiện tấn công từ chối dịch vụ DDoS. Công ty cũng không phát hiện ra sự bất thường cho đến khi hệ thống Amazon Web Services (AWS) phát hiện ra nó hai tuần sau đó.
FTC cho biết những sự cố trên cho thấy tuyên bố của Verkada về việc sử dụng “các công cụ tốt nhất” để bảo vệ dữ liệu khách hàng là sai lệch và sai sự thật. Ngoài ra, các sản phẩm được cho là thiếu các biện pháp bảo mật cơ bản, chẳng hạn như yêu cầu sử dụng mật khẩu phức tạp, mã hóa dữ liệu khách hàng ở trạng thái lưu trữ và thực hiện các biện pháp kiểm soát mạng an toàn.
Trong khi đó, Verkada cho biết họ “không đồng ý với các cáo buộc của FTC nhưng chấp nhận các điều khoản”.
Ngoài khoản tiền phạt, công ty sẽ phải thực hiện một chương trình bảo mật toàn diện được đánh giá thường xuyên bởi bên thứ ba độc lập. Trong 20 năm tới, Verkada sẽ phải báo cáo mọi sự cố an ninh mạng cho FTC trong vòng 10 ngày.
Trong những năm gần đây, vì camera giám sát là thiết bị quan trọng để giám sát an ninh và quản lý thông minh nên vấn đề bảo mật của chúng ngày càng thu hút nhiều sự chú ý. Việt Nam cũng đã ban hành các tiêu chuẩn khuyến nghị vào tháng trước và công bố dự thảo tiêu chuẩn bảo mật cho camera mạng.
Lữ Quế