Güvenlik sistemleri şirketi Verkada’nın, uluslararası bir ölçekte siber saldırıya uğradığı açıklandı. Saldırıda, Tesla ve Cloudflade şirketleri dahil 150 bin kameranın kontrolü ele geçirildi. Saldırganların, 2 gün boyunca sınırsız erişime ulaştığı belirtildi.
Dünyanın en büyük şirketlerinden birisinin, hastaneler ve gözaltı merkezlerinin de içinde bulunduğu 150 bin güvenlik kamerasına siber saldırı düzenlendi. Bir grup bilgisayar korsanı, Silikon Vadisi’nde geliştirilen kurumsal güvenlik kamera sistemi Verkada tarafından toplanan geniş bir güvenlik kamerası ağına ulaştıklarını söyledi.
Öyle ki bu kamera ağında hastaneler, elektrikli otomobil devi Tesla ve yazılım sağlayıcısı Cloudflare gibi çok ünlü şirketler, polis merkezleri, hapishaneler ve okullarda bulunan tam 150 bin kamera bulunuyor. Ve korsanlar bu kameraların canlı yayınına erişebiliyor.
Bilgisayar korsanları kadın sağlığı klinikleri, psikiyatri hastaneleri ve Verkada’nın kendi ofisini dahi izleyebildiler. Aynı zamanda bu kameralarda hastaneler de dahil olmak üzere kişileri tanımlamak ve sınıflandırmak için yüz tanıma teknolojisi bulunuyor. Korsanlar Verkada sisteminde bulunan bütün kamera sistemlerine ulaşabileceklerini söylüyorlar.
Tesla’ya Ait 222 Kameraya Ulaştılar
Korsanların ulaştığı görüntülerin birinde, Florida’da bulunan Halifax Health hastanesinde sekiz hastane çalışanın bir adamla mücadele edip onu yatağa sabitledikleri göze çarptı. Şangay’da bir Tesla deposunda montaj hattında çalışan işçilerin görüntülendiği ifade edildi. Ayrıca korsanlar Tesla fabrikalarında ve depolarında bulunan 222 kameraya da ulaştıklarını söylediler.
Uluslararası Ölçekte Bir Siber Saldırı
Verkada’nın kameralarına erişim sağladığını iddia eden Tillie Kottmann isimli bilgisayar korsanı, bu saldırının uluslararası ölçekte gerçekleştirildiğini ve video ile takip sisteminin ne kadar yaygın hale geldiğini göstermek istediklerini vurguladı. Kottman ayrıca daha önce araba üreticisi Nissan’ı da hackledikleri için övgü aldıklarını da belirtti.
Verkada Tüm Yönetici Hesaplarını Devre Dışı Bıraktı
Bir Verkada sözcüsü yaptığı açıklamada yetkisiz erişimi önlemek için tüm yönetici hesaplarını devre dışı bıraktıklarını belirterek, iç güvenlik firmaları ile harici bir güvenlik firmasının bu olayı araştırdıklarını da iletti. Aynı zamanda Verkada’nın güvenlikten sorumlu üst düzey isimleri müşterilerin sorularını cevaplandırmak ve araştırma hakkında bilgi vermek için destek hattı oluşturmaya çalıştıklarına dair açıklamalarda bulundu.
Verkada müşterilerinden biri olan Cloudflare de konuyla ilgili olarak uyarıldıklarını belirterek, “Kameralar, birkaç aydır resmen kapalı olan birkaç ofiste bulunuyordu” sözlerine yer verdi.
Bilgisayar korsanları aynı zamanda Alabama’da bulunan Madison County Hapishanesi’nde bulunan 300 güvenlik kamerasına erişim sağladılar. Hapishanede bulunan Verkada güvenlik kameralarında kişilerin kimliğini tespit eden “Kişi analizi” adlı bir özellik bulunduğu ortaya çıktı. Hapishanedeki kameraların bazılarının havalandırma deliklerine, termostatların içerisine gizlendiği görüldü. Korsanlar polis memurları ve mahkumlar arasındaki diyalogların da 4K görüntülerine eriştiler.
Siber Saldırı, “Süper Admin” Yöntemi ile Gerçekleştirildi
Hacker’ların kullandığı metotlar çok da karmaşık değildi: Verdaka sistemine ‘süper admin’ yöntemi ile girdiler böylece kameralara erişim sağladılar.
Kottmann internette açıkça paylaşılan bir şifre ve kullanıcı adı bulduklarını söylüyor. Gazeteciler, Verdaka ile iletişime geçtikten sonra hacker’ların şirket sistemi ile bağlantıları kesildi.
Bilgisayar korsanları lüks spor salonu zinciri Equinox’tan, birkaç devlet hastanesinin hasta odalarına kadar güvenlik kameralarına erişebildi.
Kottmann söz konusu sistem saldırısı sayesinde ne kadar gözlendiğimizin ortaya çıktığını ifade ediyor.
Verdaka’nın İlk Güvenlik Kamerası Skandalı Değil
2016 yılında kurulan Verdaka güvenlik kameraları satıyor aynı zamanda bu kameralarda olan bitenin internet üzerinden takip edilmesini sağlıyor. Saldırıyı gerçekleştiren ekipten olduğunu iddia eden Kottmann, “Her zaman olduğunu bildiğimiz şeyleri görmek çok çılgıncaydı” diyerek kameraları illegal bir şekilde gözetlemenin kendisine verdiği hazzı anlatıyor.
Ekim 2020’de üç Verdaka çalışanı güvenlik kameraları ile ofiste kadın çalışanların fotoğraflarını çektikleri ve bu fotoğraflar hakkında cinsel içerikli şakalar yaptıkları gerekçesiyle kovulmuş ve olay basına yansımıştı.
Gerçekleştirilen Siber Saldırı ile Şirket Bilançolarına Ulaşıldı
Hacker Kottmann’ın verdiği bilgilere göre sisteme yapılan sızıntı sayesinde şirketin bilançoları ve müşteri listesine de erişim sağlanabildi. Bilgisayar korsanı aynı zamanda evine Verkada güvenlik kameralarından yerleştirmiş olan şirket çalışanlarının özel hayatlarını da takip edebildiklerini söyleyerek bir çalışanı ailesi ile birlikte yapboz yaparken görüntülediklerini anlatıyor.
Elektronik Öncüler Derneği direktörü Eva Galperin, “Eğer şirketinize bu güvenlik kameralarından koyduysanız kimsenin sizi gözetliyor olmasını beklemezsiniz” ifadelerini kullanıyor. Cloudflare isimli bir şirketin güvenlik kameralarında aynı zamanda yüz tanıma teknolojisi kullanıldığı ortaya çıtkı. Kişilerin izni olmadan böyle bir teknolojiyi kullanmak yasal değil. Firma yetkilileri Verkada’yı suçlarken kişisel bilgileri güvenlik kameralarıyla toplamak gibi bir amaçlarının olmadığını dile getirdiler.
Galperin, “Şirketinizde bir görüntüleme sisteminizin olması için çokça sebebiniz var. Bunun için çalışanlarınızın onayını da almalısınız. Bu genellikle çalışanlara insan kaynakları departmanları tarafından anlatılır ama kimse bu ayrıntı ile ilgilenmez” değerlendirmesinde bulunuyor.
*Yukarıdaki haberde yer alan bilgilerin tamamı Bloomberg’de William Turton imzasıyla yayımlanan, “Hackers Breach Thousands of Security Cameras, Exposing Tesla, Jails, Hospitals” isimli makaleden alınmıştır.
İlk yorum yapan olun