摄像头被非法入侵，被罚2000万元，如何保护视频监控安全？

安全内参9月3日消息，美国加州安防公司Verkada已同意支付295万美元（约合人民币2099万元）的民事罚款，并将实施一项全面的安全计划。此前2021年，黑客从该公司15万台联网的安全摄像头中窃取了视频，其中一些摄像头安装在精神病医院和妇女健康诊所。

美国联邦贸易委员会（FTC）对Verkada提起的诉讼指出，该公司未能采取适当的信息安全措施，以保护通过其安全摄像头收集的客户和消费者的个人信息。

除了数百万美元的财务罚款外，Verkada和FTC达成的同意令还要求公司实施全面的安全计划，并在未来20年内每年向FTC提交风险评估报告。这项同意令尚需联邦法官批准。

同意令还解决了Verkada涉嫌违反联邦反垃圾邮件法规的指控。该公司通过大量商业电子邮件向潜在客户发送广告，但未提供退订或退出选项。FTC表示，公司未能尊重客户的退订请求，也未在邮件中提供实体邮寄地址。

安全措施存漏洞致使客户摄像头被黑客访问

Verkada的主要产品是支持IP网络的安全摄像头，这些摄像头通过亚马逊云服务（AWS）的云端存储客户数据并保存视频档案。FTC指出，从2019年至2021年，该公司共销售了超过24万台安全摄像头。

据称，Verkada的安全措施存在漏洞，未能要求使用唯一且复杂的密码，未能充分加密客户数据，且未能实施安全的网络控制。因此，在2020年12月至2021年3月期间，Verkada至少发生了两次安全入侵事件。

2021年3月，一名黑客从超过15万台联网的Verkada摄像头中获取了视频录像及其他客户信息，如物理地址、音频记录和客户的Wi-Fi凭据。

FTC表示：“入侵者访问了超过15万台实时监控的客户摄像头，观看了精神病医院的病人（包括躺在病床上的病人）、妇女健康诊所、在房间内玩耍的小孩和被监禁者在牢房内的画面等。”

FTC还指出，2020年12月，一名黑客利用了旧版固件构建服务器中的安全漏洞，而这一漏洞的出现是因为一名员工未能恢复服务器的原始安全设置所致。“黑客在服务器上安装了Mirai僵尸网络软件，并进行恶意活动，包括将服务器武器化，对其他第三方互联网地址发起拒绝服务攻击。Verkada在AWS安全部门标记出这些活动两周多后，才意识到服务器已被入侵。”

‍‍‍‍‍FTC表示安防摄像头收集的数据存在用户敏感信息‍‍‍‍‍

Verkada在8月30日发表的声明中表示，公司不同意FTC的指控，但接受了和解条款，“以便我们能够继续推进使命，并专注于保护人们和场所的隐私。”

声明中还写道：“我们将继续优先加强Verkada的数据安全态势。”

FTC在诉状中表示，Verkada收集并维护了各种客户信息，包括姓名、物理地址、客户用户名和密码哈希值、客户站点平面图以及客户的Wi-Fi凭据。

FTC还指出，Verkada安全摄像头收集的视频录像“可能包括消费者影像，以及其他敏感的消费者个人信息，例如可见的医疗记录。”

FTC表示：“许多此类消费者的影像本质上具有敏感性，因为一个人在特定地点的出现必然会揭示其个人信息。例如，某个消费者出现在精神病医院的画面直接说明该消费者正在寻求心理健康服务。”

除了实时监控功能外，Verkada的安全摄像头还具备“人物分析”功能，允许客户查看所有被其安全摄像头录制或上传到公司Command平台的消费者高清图像。用户可以通过性别或衣服颜色筛选图像，并通过面部识别或脸部匹配技术搜索图像。

FTC以5比0的投票结果支持了前述同意令。

由此可见，视频监控设备的安全防护至关重要，尤其是摄像头自身的安全管理，那么如何保障视频监控设备的安全呢？

天防安全“天防视频网络安全检查工具、天慧视频监控网络空间安全监测服务平台”产品能够对视频监控设备的弱口令、安全漏洞进行检测，及时发现各类安全隐患，以便排查和整改。

天防安全“天合视频网络密码保险箱系统”产品能够对监控设备账号进行统一安全管控，可针对不同厂商型号视频监控设备实现账号密码统一管理，实现密码定期自动修改，为在线查询和离线使用摄像机密码提供安全保护，避免摄像机账号密码出现弱口令及密码泄露。

天防安全“天印视频防泄漏系统”可以有效杜绝网络入侵泄密、拷贝或另存泄密、外发泄密等视频泄露事件，从而保护个人隐私、商业秘密安全。

天防安全“天鉴视频网络安全准入系统”能够提供多种准入控制能力，实现对视频监控全段的灵活、全面入网管理，阻止非法集仿冒终端的随意接入，提升网络准入工作效率，保障网络安全。