Hacker kapern 150.000 Überwachungskameras
10. März 2021
Eine kleine Gruppe von Hackern hat in den vergangenen zwei Tagen 150.000 Überwachungskameras einer US-Firma angezapft. Betroffen waren unter anderem Krankenhäuser, Gefängnisse, Schulen und Polizeireviere, aber auch Unternehmen wie der Elektroauto-Hersteller Tesla und sogar die IT-Sicherheitsfirma Cloudflare.
Wie der Finanzdienst Bloomberg berichtet, haben die Hacker Aufnahmen vom Tesla-Standort Schanghai vorgeführt. Das kalifornische Start-up Verkada, von dem die Kameras stammen, teilte Bloomberg in einer ersten Reaktion mit, man untersuche "das Ausmaß des potenziellen Problems". Kunden und die Strafverfolgungsbehörden seien benachrichtigt.
"Überwachungskapitalismus beenden"
Das Hackerkollektiv feiert seinen Einbruch als Entlarvung eines Überwachungsstaats: "Was wäre, wenn wir den Überwachungskapitalismus in zwei Tagen absolut beenden würden?", twittert ein angebliches Mitglied der Gruppe namens APT-69420 Arson Cats inmitten einer Auswahl der gehackten Bilder. "Dies ist die Spitze der Spitze der Spitze des Eisbergs."
Aufnahmen, die preisgünstige Sicherheitskameras für den Haushalt machen, werden zwar immer wieder abgegriffen, vor allem wenn die Nutzer nicht die voreingestellten Standard-Passwörter der Geräte ersetzen. Dass aber eine Firma mit großen Kunden gehackt wird, die speziell mit mehr Sicherheit durch Gesichtserkennung wirbt, ist jedoch außergewöhnlich.
Das System kann laut Verkada zum Beispiel warnen, wenn eine bestimmte Person ins Blickfeld der Kameras gerät. Die Kunden könnten die Bilder bei Ermittlungen zu Zwischenfällen auch etwa nach der Farbe von Bekleidung oder Geschlechtsmerkmalen durchsuchen, betont Verkada auf der Firmenwebsite. Die Bilderkennung könne unter anderem Autokennzeichen auslesen. In der Corona-Pandemie führte die Firma eine Funktion ein, die Alarm schlägt, wenn sich mehr Menschen als erlaubt an einem Ort versammeln.
Tausende Unternehmen und Behörden
Eine Liste von Verkada-Benutzerkonten, die von der Hackergruppe zur Verfügung gestellt und von der Nachrichtenagentur Reuters eingesehen wurde, umfasst Tausende von Unternehmen, darunter die Fitnessstudio-Kette Bay Club und das Transporttechnologie-Startup Virgin Hyperloop. Die Hacker veröffentlichten Aufnahmen aus einem Polizeirevier im US-Bundesstaat Massachusetts, einem Gefängnis in Alabama und einem Krankenhaus in Florida. In dem Gefängnis sei es ihnen gelungen, 330 Kameras anzuzapfen, berichtet Bloomberg. Bei Tesla seien es 222 Kameras gewesen. Sie hätten sich auch Zugang zum Videoarchiv der Verkada-Kunden verschafft.
Dass gespeicherte interne Aufnahmen nicht ausschließlich für das Unternehmen oder die Einrichtung selbst zugänglich sind, ist eher ungewöhnlich. Die Hacker fanden nach eigenen Angaben Zugangsdaten für einen Administrator-Account mit weitreichendem Zugriff, der öffentlich im Internet erreichbar war. Als "Super-Administrator" habe man dann eine Vielzahl von Kameras anzapfen können. Der Vorstoß dürfte die Datenschutzbehörden in den USA und Europa aufschrecken.
Rick Holland, Manager einer Firma für Risikoschutz, warnt vor den Gefahren einer Sicherheitsüberwachung über die Internet-Cloud: "Man wird nicht immer sicherer, wenn man seine Sicherheit an einen Dritten auslagert."
rb/AR (AFP, dpa, rtr)