当一位教师拿起课本,站在讲台上为同学们传授知识、答疑解惑时;当一位护士站在导诊台,为来往的病人们登记打单、备药换药时;当你结束了一天的工作,坐在家中放松地享受休闲时光时……可能在某个暗处,正有无数双眼睛注视着这一切。
1月17日,哔哩哔哩公司(下称“B站”)就有用户疑上传破解的公共场所监控视频一事作出回应,称已第一时间组织排查,下架相关内容并封禁涉事账号,同时将账号信息报备给主管部门,目前后续调查正在进行中。
南都·隐私护卫队调查发现,网络平台上早已形成许多完整的摄像头偷窥黑色产业链,其大多以打包形式售卖被破解摄像头的账号和密码,每个“台”对应一个监控下的固定场所,全天播放。一次购买六至九个台的价格在98元至600元不等,账号有效期大多在一至三个月,如果被查封还能“包售后包补”。
这些不法分子是如何破解摄像头的?怎样才能有效防范此类事件再次发生?学校、医院等公共场所的监控系统被入侵是否意味着更严重的安全隐患?有专家表示,用户在使用设备期间不更改原始密码或密码过于简单会大大降低不法分子破解的难度,而保管好密码、将原始密码更改得更复杂最为重要。
B站下架疑破解摄像头后所获监控视频
近日,一条“B站回应有用户疑上传破解的监控画面”的新闻登上热搜。有网友在某平台发帖称,发现有用户在B站上传疑似破解教室、医院等公共场所摄像头后获取的监控视频。评论区不仅对画面中的被拍者评头论足,还发表了很多不堪入目的骚扰性言论。
B站视频页面截图
B站视频页面截图
帖子写道,B站存在大量运营这类内容的小号,这并非个别现象,“我认为举报掉一两个up(指在视频网站等平台上传视频音频文件的人)是无效的”。同时,爆料者推测有大面积的摄像头已经被破解并流入黑色产业,而发视频的目的是吸引观众加入付费的偷窥群,提醒网友们在工作时要小心身边的摄像头。
帖子发布后便引起网友们的广泛关注,并被转载至微博等其他平台。不久后,B站就此事发布处理公告,称在接到举报后第一时间组织排查,下架相关内容并封禁涉事账号,同时将账号信息报备给主管部门,后续调查正在进行中。
“又恶心又危险”“现在到处都是摄像头,管控却不严格”“举报曝光报警给他们连锅端”……报道在网络上持续发酵后,评论区表示震惊、愤怒的言论占据了主流。除了教室、医院等公共场合,不少网友开始担忧家中为照看老人、孩子以及宠物等而安装的摄像头所存在的隐患。
事实上,近年来有关摄像头偷窥黑色产业链的报道早已屡见不鲜。去年12月,央视新闻发现在一些社交平台上有大量与摄像头偷窥相关的群,150元可以购买400个摄像头ID进行偷窥,300元可购买摄像头扫描软件,而该软件在一分钟内可扫描数千台摄像头ID。
同年10月,江苏泰州的网警在巡查时发现,有人在网络上大量售卖客厅、卧室、试衣间等隐私场所的摄像头监控录像,并分别以129元或198元的价格打包售卖400余套被破解的摄像头账号和密码。其后警方陆续抓获主犯马某和代理下线等34人,查获被控摄像头账号8600多个,涉案金额110余万元。
98元可看七个房间监控录像
为进一步了解摄像头偷窥黑色产业链,南都·隐私护卫队暗访了多个相关群组。
南都·隐私护卫队在百度贴吧的“监控摄像头吧”“摄像头吧”中发现了大量贩卖摄像头偷窥视频的账号,为避免发帖受到限制,他们大多只会在帖子中留下QQ号,邀请购买者在QQ上继续交流,如使用“酒店”等敏感词语都会以谐音代替。
贴吧帖子截图
贴吧帖子截图
在以购买视频为由加上卖家QQ后,对方便开始了推销。卖家首先会以“闪照”形式或截取监控视频中的一段作为预览发给买家参考,然后双方谈价。售卖的视频类型以酒店、家庭监控视频为主,酒店的价格偏高。
卖家发预览视频
卖家发预览视频
卖家报价
在与约六个卖家交流后,南都·隐私护卫队了解到其大多是以打包形式售卖被破解摄像头的账号和密码,每个“台”对应一个监控下的固定场所,一次购买六至九个台的价格在98元至700元不等,账号有效期大多在一至三个月。有效期结束后,后期每月的更新费用都在百元以下,并且“介绍新客户来免费看更新”。
卖家发布在群里的监控视频画面
不仅如此,卖家还会信誓旦旦地保证账号“绝对安全”“出了事和看客没有任何关系”,如果被查封还能“包售后包补”。除了登录账号观看监控直播,还能观看回放。此外,点进这些卖家的账号主页,除了展示“销售业绩”,甚至还售有违禁药品。
卖家的QQ空间
卖家的QQ空间
值得注意的是,绝大多数被售卖的摄像头账号及密码都是在一款名为“萤石云视频”的App上使用的。“萤石云视频”是一个智能硬件管理平台,由杭州萤石软件有限公司(下称“萤石”)开发,除了售卖摄像头等电子产品,更主要的是提供远程连接摄像头查看实时视频、历史录像,与被监控区域进行语音对话、视频留言等服务。
当用户购买该摄像头产品后,便要下载“萤石云视频”App以实现远程监控的目的。在华为应用市场搜索该App,其下载量达到五亿次,而淘宝店铺“萤石官方旗舰店”显示粉丝数约76万,畅销的某款摄像头产品月销一万以上,俨然是监控摄像头领域的热卖品牌。
为此,南都·隐私护卫队联系了萤石的客服人员,对方称目前并未发现有用户设备被破解的情况发生,并表示萤石的摄像头设备只能被一个主账号进行绑定,每个账号可登录十个终端,仅主账号对设备有操作权限。
“如果没有把账号密码告诉他人,也没有把设备分享给他人,那就只有主账号能登录使用。”客服强调,用户可以在App上检查设备绑定了多少个终端,如果存在异常登录的终端就应立刻删除并修改密码。“哪些终端在上面登陆都是有记录的,定期查看就可以。”
此外,当南都·隐私护卫队问起破解摄像头的原理以及能破解的范围时,视频卖家则回答“这东西都有漏洞,有些家庭用户不懂”“破解软件要自动扫描,扫到什么破解什么”。
与卖家的聊天截图
与卖家的聊天截图
“一定要更改原始密码”
不法分子究竟是如何破解摄像头的?学校、医院等公共场所的监控系统被入侵是否意味着更严重的安全隐患?怎样才能有效防范此类事件再次发生?
北京汉华飞天信安科技有限公司总经理彭根分析,这种破解存在两种情况。一方面是系统本身存在漏洞,比如无需密码就能进入监控系统,而不法分子发现并且利用了这一漏洞;另一方面则是监控系统使用的是设备出厂时的原始账号和密码,使用期间未曾更改,或设置的密码过于简单,于是很容易地便被不法分子破解并侵入了。
彭根指出,在使用设备的过程中,很多用户常年不更改密码,或者许多不同的账号都使用同一个密码,这些情况都是比较危险的。“黑客知道你一个密码,基本上就知道你全部的密码。”另外,过于简单的密码也意味着更大的隐患,如使用一串连贯的数字或字母都是“不可取的”。
谈及公共场所监控系统被入侵的风险,独立电信分析师付亮指出,学校、医院等公共场所有一套相对独立的监控系统。以医院的医疗整治系统为例,其与医院的监控系统并无联系,“不会因为有人能看到医院走廊的监控视频,就能把病人的电子病历给偷走,这是两套完全不同的系统。”
那么,如何才能进行有效防范?彭根建议,首先尽量购买大型厂家生产的品牌摄像头,更有安全保障。此外,最重要的是保管好密码,一定要把原始密码更改为更为复杂的密码,“可以减少大部分的安全隐患”。
付亮表示,要防范此类事件再发生,需重点关注两个方面。
一是监控系统在开发、测试以及升级环节都应更严谨、更完善,通过多角度的反复测试修复可能被不法分子利用的薄弱环节;二是保障监控系统安全的连续性,在使用过程中建立起一套完整的设备异常跟踪、操作日志分析等功能,通过分析摄像头设备的日志数据找出异常操作,及时查处非正常登陆等情况。
“这就好比亡羊补牢。”付亮打了个比方,“当我羊丢了,我就去找问题在哪,然后把洞堵住。那么我需要每隔一段时间都数一数还有几头羊,如果我的羊圈里有三百头羊,不能从三百头变成两百头了我还不知道。同样地,我需要经常分析数据,看看有没有异常登录的情况,及时采取措施。”
热门跟贴