Hãng Verkada bị phạt vì 150.000 camera bị lộ dữ liệu
Hãng Verkada (Mỹ) bị kiện và bị phạt sau khi dữ liệu từ 150.000 camera bị tin tặc truy cập, cho thấy hệ thống thiếu biện pháp bảo mật cơ bản.
Sự cố xảy ra từ năm 2021 và được Ủy ban Thương mại Liên bang Mỹ (FTC) công bố kết quả điều tra cuối tháng 8/2024. Verkada bị đề xuất mức phạt 2,95 triệu USD vì dính nhiều lỗ hổng bảo mật và quảng cáo sai sự thật về các tính năng an toàn.
Hãng camera Mỹ ra đời năm 2016, đặt mục tiêu trở thành hệ thống vận hành tòa nhà an toàn và hiệu quả nhất thế giới. Sản phẩm của Verkada được 26.000 tổ chức ở 85 quốc gia sử dụng, theo quảng cáo trên website. Nhiều doanh nghiệp và tổ chức, trong đó có những nơi đề cao sự riêng tư như phòng khám sức khỏe phụ nữ, bệnh viện tâm thần, nhà tù, trường học, trong đó có nhà máy sản xuất ôtô Tesla, đang trang bị camera giám sát của hãng này.
Vào tháng 3/2021, nhóm tin tặc APT-69420 Arson Cats khai thác thành công lỗ hổng trong máy chủ hỗ trợ khách hàng của Verkada, nơi cung cấp quyền truy cập cho quản trị viên. Chúng thâm nhập vào 150.000 nguồn cấp dữ liệu camera trực tiếp, từ đó trích xuất nhiều GB cảnh quay video, ảnh chụp màn hình và thông tin chi tiết về khách hàng.
Theo ghi nhận khi đó, tin tặc đã truy cập trong hệ thống nội bộ Verkada nhiều giờ mà không gặp biện pháp ngăn chặn nào. Chúng sau đó chủ động gửi thông tin cho truyền thông và công bố các video làm bằng chứng.
Trước đó, năm 2020, Verkada cũng bị tin tặc cài mã độc Mirai để thực hiện tấn công từ chối dịch vụ DDoS. Hãng cũng không phát hiện cho đến khi hệ thống của Amazon Web Services (AWS) nhận thấy bất thường vào hai tuần sau đó.
Theo FTC, sự việc trên cho thấy những tuyên bố của Verkada về việc sử dụng công cụ tốt nhất để bảo vệ dữ liệu khách hàng là hành vi lừa dối, sai sự thật. Ngoài ra, các sản phẩm bị cho là thiếu biện pháp bảo mật cơ bản, như yêu cầu sử dụng mật khẩu phức tạp, mã hóa dữ liệu khách hàng khi lưu trữ và triển khai các biện pháp kiểm soát mạng an toàn.
Trong khi đó, Verkada tuyên bố không đồng ý với cáo buộc của FTC, nhưng chấp nhận các điều khoản.
Ngoài khoản tiền phạt, công ty sẽ phải triển khai chương trình bảo mật toàn diện, được đánh giá thường xuyên bởi một bên thứ ba độc lập. Trong 20 năm tới, Verkada sẽ phải báo cáo mọi sự cố an ninh mạng cho FTC trong vòng 10 ngày.