特斯拉又出事了！

上周，在美國底特律，一輛白色特斯拉Model Y撞上了一輛白色半掛卡車，特斯拉被卡在卡車下，場面一度十分慘烈。

萬幸的是，特斯拉司機和乘客都沒有生命危險，也已經被送往緊急就醫。

讓特斯拉憂心的可不只是又一起車禍而已。

根據一段由黑客曝光的視頻，我們可以看到在上海特斯拉倉庫裝配線上的工人，黑客表示，他們可以訪問特斯拉工廠和222臺攝像機。

特斯拉也不是唯一的受害者。佛羅里達州哈利法克斯健康醫院同樣遭到入侵，可以看到8名醫院工作人員試圖將一名男子綁住固定在床上。

根據這群黑客透露，他們現在能夠訪問醫院、公司、警察局、監獄和學校中的15萬個監視攝像機的實時畫面。

而這些受到入侵的組織的共同點，那就是都是用了硅谷初創公司Verkada供貨的攝像頭。

除了能夠實時監控攝像頭數據，黑客還表示，他們能夠訪問所有Verkada客戶的完整視頻檔案。

目前上述被入侵組織都已經采取了相應的措施，特斯拉表示，本次黑客事件的入侵范圍僅涉及河南一處特斯拉供應商生產現場，特斯拉中國區也僅在此供應商工廠使用了少數Verkada品牌攝影頭作為遠程質量管理，其他如上海超級工廠、全國各地門店與交付中心等均與此無關聯，且其他攝像設備均接入公司內部網絡而非互聯網，視頻數據采取本地存儲方式，無本次事件提及的安全風險。

目前特斯拉已經停止了這些攝像頭的聯網，并且已經在供應商現場采取措施進行停止攝像頭工作，并進一步提升各環節的安全把控。

使用公開存儲的用戶名和密碼就能實現如此大規模的入侵？！

如此大規模的入侵不禁讓人讓人好奇，這次的黑客能力到底有多強。

但是根據彭博社報道，黑客只使用了Verkada服務器上公開存儲的用戶名和密碼。

因為Verkada把密碼存儲在了持續集成工具Jenkins所用插件的Python腳本里，只需要登上維護用的Web應用，你也可以擁有超級管理員權限，甚至不需要擁有其他的黑客知識。

然后就很簡單了，想訪問哪個客戶的攝像頭，你只需要用鼠標輕點一下就行，甚至你還可以在這些攝像頭上自己編寫代碼。

比如在阿拉巴馬州的麥迪遜縣監獄內，安裝的330臺Verkada攝像機提供了一種“人物分析”的功能，這能“根據不同的屬性，比如性別氣質、服裝顏色，甚至是一個人的臉，進行搜索和篩選”。

根據彭博社公開的圖像，監獄內的攝像頭（其中一些隱藏在通風口，恒溫器和除顫器內），使用面部識別技術來跟蹤囚犯和獄警。黑客說，他們能夠訪問警察和犯罪嫌疑人之間的采訪的實時供稿和存檔視頻，在某些情況下包括音頻，所有這些都以4K的高清分辨率進行。

Verkada發言人在一份聲明中說：“我們已禁用所有內部管理員帳戶，以防止任何未經授權的訪問。”“我們的內部安全團隊和外部安全公司正在調查此問題的規模和范圍，并已通知執法部門。”

總部位于舊金山的Cloudflare在一份聲明中說：“下午的時候我們就警覺，監視少數Cloudflare辦公室主要入口和主要通道的Verkada攝像頭系統可能已經遭到破壞。”“這些攝像機位于少數幾個辦公室，這些辦公室已經正式關閉了幾個月。”Cloudflare表示已禁用該攝像頭，并使其與辦公網絡斷開連接。

除Cloudflare和特斯拉外，其他遭到入侵的公司并未對此事置評。

目前，彭博社已與Verkada取得聯系，黑客隨即便失去了訪問視頻源和檔案的權限。

戰績斐然：入侵過英特爾和任天堂的黑客

作案手法清楚之后，大家應該會對這個人產生一定的好奇吧。

目前，這位年僅21歲的涉事黑客Tillie Kottmann已遭到瑞士當局的搜查，其設備也被沒收，隨后Kottmann的GitLab存儲庫也已被查封。

可能說到這里，不少人對Kottmann這個人還沒有什么特別的印象，但要是提到去年英特爾大量秘密文件和源代碼遭泄露一事，大家應該都會恍然大悟，沒錯，這正是Kottmann的“杰作”。

英特爾被泄露的秘密信息緩存大小為20GB，其中包括技術規范，并且與內部芯片組設計有關，以及Kaby Lake平臺和英特爾管理引擎（ME）等。

相信大家也還記得2020年，任天堂的數據泄漏事件Gigaleak，Kottmann同樣與該事件有著深深的聯系。

從2020年4月開始，在9chan上公布了9組數據，包括有關Nintendo Switch和其他內部材料的早期文檔。而“Gigaleak”主要是指，7月24日的第二次泄漏，此次泄露的內容大小為3GB。

Verkada內部還存在不少問題

本來文章到這里就完了，但是好奇的文摘菌去觀望了一下被入侵的公司Verkada，貌似這個瓜還沒有吃完。

Verkada成立于2016年，主營業務是安全攝像頭，安裝上這種攝像頭后，用戶就可以聯網對其進行訪問和管理。

不過，文摘菌發現，Verkada所謂的超級管理員權限，可以直接忽視用戶選擇的“隱私模式”，也就是說，盡管用戶選擇了“隱私模式”，但超級管理員仍然可以訪問該攝像頭。

不僅如此，公司許多員工的賬戶都擁有查看任何一個攝像頭的權限。

即使這樣，2020年1月，該公司籌集到了8000萬美元的風險投資資金，公司的市場估值一下子就竄到了16億美元。投資者中，還有硅谷老牌公司紅杉資本。

2020年10月，Verkada解雇了三名員工，原因是有報道稱，公司工人使用相機拍攝了Verkada辦公室內女同事的照片，并向她們開了性玩笑。

Verkada首席執行官Filip Kaliszan在當時對Vice的一份聲明中表示，該公司已經“終止了煽動此事件的三位員工，他們做出了針對同事的惡劣行為，或在有管理職責的情況下卻不舉報”。

但之后，Verkada對涉事員工的處罰只是讓他們選擇被開除，或是減少期權，這3人均選擇留在公司并減持期權。

Kottmann表示，他們能夠下載數千名Verkada客戶的資產負債表等，但Verkada不會發布財務報表，這是相當值得注意的。

如此看來，Kottmann似乎并非為了某種利益而做出這樣的行為，對此你有什么看法，歡迎在評論區留言討論~

相關報道：

https://www.bloomberg.com/news/articles/2021-03-09/hackers-expose-tesla-jails-in-breach-of-150-000-security-cams?sref=P6Q0mxvj

https://gizmodo.com/feds-eye-swiss-hacker-tied-to-major-security-cam-breach-1846467756

https://www.bloomberg.com/news/articles/2021-03-11/verkada-workers-had-extensive-access-to-private-customer-cameras

https://www.theverge.com/2021/3/12/22328344/tillie-kottmann-hacker-raid-switzerland-verkada-cameras

*博客內容為網友個人發布，僅代表博主個人觀點，如有侵權請聯系工作人員刪除。