黑产和贩卖摄像头信息。
隐私图片,打包卖260元。
早前爆料用户发布的视频截图显示,上传到哔哩哔哩的监控视频场所包括学校教室、医院、商场前台等。
有过对抗黑灰产经历的吴明(化名)告诉贝壳网记者,视频显示这些摄像头位置明显,应该是普通的监控摄像头。“但摄像头的主人很可能不会把自己的监控内容上传到网络。应该是摄像头的ID和密码被泄露了。”
安全不是一个新话题,但每次都以隐私泄露被推到前台。
2021年4月,壳牌财经记者在调查摄像头黑灰产时发现,许多“破解”的智能摄像头ID地址在“直播站”上公开出售,明码标价40元至200元不等。泄露的镜头包括公共试衣间、仓库、店面和私人住宅。
近日,壳牌财经记者再次登录平台,看到该产业链依然存在。不过之前破解相机的工具和app已经不可用了。
一位卖相机ID的表示,由于监管部门的打击,之前已经叫停了很多“老站”。观看摄像头监控内容的App也被“更新”了,必须通过技术手段登录。购买相机账号密码的价格在120-260元之间,每个ID往往包含几个相机镜头。
财经果壳记者随机登录一个ID看到,它有8台摄像头,其中4台运行正常。根据摄像头角度,可以看出这是一组服装店监控摄像头,店内情况清晰可见。摄像机甚至有“控制角度”的选项。
记者注意到,与上传到哔哩哔哩教室和医院的场景相比,这些出售相机的地方甚至包括宿舍、客厅、美容院和服装店。
“不是没有教室和医院(摄像头),而是没人看。”告诉卖壳的财经记者,“前台有什么意义?这些镜片正对着床和沙发。看到这些真是太激动了。”
对此,有专家表示,根据我国《治安管理处罚法》规定,偷窥、偷拍、窃听、散布他人隐私的,处5日以下拘留或者500元以下罚款;情节严重的,处5日以上10日以下拘留,可以并处500元以下罚款。但相对于传播偷拍“产品”的利润,这样的处罚力度明显不足,不足以威慑他们。因此,相关部门在全链条打击的同时,需要完善相关法律法规,提高违法者的犯罪成本。
“直播”噱头:摄像头对着沙发和床
吴明告诉记者,如果监控上传到哔哩哔哩是为了“引流”,不排除像爆料网友猜测的那样,视频上传者会发一些“普通内容”来测试是否能通过试用,最后拉人进群,再以提供色情视频内容收费。
在调查中,壳牌财经公司的记者看到,除了破解现有的公共摄像头,在平台,销售较多的黑色和灰色的视频类型的摄像头主要是面对沙发和床。在调查过程中,有卖家告诉记者,看公共摄像头很“无聊”。“还有一些色情酒店的摄像头,已经运行了很多年。有没有兴趣?”
此外,卖家还表示有下载的酒店监控视频出售。
财经壳牌记者注意到,摄像机画面之所以能产生地下生意,是因为“直播”经常被用作噱头。
“你买了一个ID之后,打开的时候可能并不总是有内容,但是直播还是很有诱惑力的。”卖家就是因为这个原因向记者推荐相机屏幕的。
根据财经果壳记者的调查,安装针孔摄像头或能够破解他人摄像头ID的人被称为“业主”。因为账号和密码,机主会通过开发代理出售摄像头的观看权。
法院公布的案件文书显示,有安装人员在QQ群里发视频截图、文字介绍进行“推广”,然后以每个邀请码150元至200元的价格卖给线下代理商。代理商加价后继续发展下线或直接卖给网友观看。涨价后,一个邀请码可以卖到600多元,每台摄像机最多可以生成100个邀请码,供数百人同时在线观看,而针孔摄像机的价格只有150元左右。
“主人是新上台的,不能保证一个站能坚持多久,但24小时都有人,保证精彩不断。如果需要购买,联系我。”在黑与灰平台,一个代理商发布了这样一则“广告”。
“对于这种卖摄像头ID的黑灰产,不存在破解问题,因为机主本身就是安装来卖观看权的摄像头。”吴明告诉记者,“其实公共区域摄像头由于防火墙的存在,很难破解,画面也比较普通,所以买家不多。相比之下,有更多的黑灰卖家私自安装摄像头,甚至故意购买隐藏摄像头安装在酒店、试衣间等。然后出售他们的ID来获利。”
在中国裁判文书网此前公布的一起制作、复制、出版、贩卖、传播淫秽物品牟利案中,被告人赵某在某酒店房间内的隐蔽场所私自安装摄像头,并通过网络向黑灰产者出售观看上述淫秽视频的“邀请码”。后者加价后相互转卖或通过网络卖给他人牟利。最终,赵因犯制作、贩卖、传播淫秽物品牟利罪,被判处有期徒刑11年。
安装摄像头不改密码留下隐患,弱密码容易被操纵。
摄像机暴露了隐私问题的严重性,这促使人们提高警惕。
2021年,北京市第三中级人民法院审结的一起案件中,被告人吴某某控制了全球18万台摄像头。"我收集或记录的都是私人住宅中裸体的视频."吴某某的“客户”李某作证称,其注册成为App会员后,分两次缴纳668元成为终身会员。“在时间观看没有限制,随机有6个镜头内容,可以收集和记录。内容包括私宅、公共场所、培训机构等。”
2018年至2019年3月5日,案发,吴某某通过在网上推广上述摄像头的实时监控图像,非法获利70余万元。最终,吴某某
犯非法控制计算机信息系统罪,被判处有期徒刑5年,罚金人民币10万元,并追缴违法所得。据了解,巫某某是从网上购买了一款软件,并非法获取了某品牌网络摄像头的用户数据库,在这个数据库的基础上搭建了一款App,并实现数据导入,吸引用户有偿登录应用程序,观看网络摄像头实时监控内容。而其服务器挂在境外。
“这是常规的‘脱库’操作”。吴名告诉贝壳财经记者,“除此之外,还有更笨的方法,就是攻击那些密码设置比较弱的摄像头账号,甚至还有不更改密码的账号。”
杭州安恒信息技术股份有限公司海特实验室副主任信心对贝壳财经记者表示,目前公共区域的摄像头安全程度高低不一。由于监控摄像系统多由各个公共区域的管理者安装,其安全防护程度也不同,部分场所的摄像系统采用了专网专用,部署了安全防火墙,运维人员有专门的安全培训,这样的系统安全程度较高,黑客破解的难度较大。
而部分系统也存在权限混乱,密码简单,互联网与监控网络混合使用,一旦爆发设备漏洞或权限信息泄露,可以被黑客轻易破解。
事实上,贝壳财经记者打开卖家发给记者的摄像头ID发现,百分之九十以上的账号密码都是未更改过的原始账户名,如“”、“abc”等,密码也极其简单。
“为了遏制破解公共区域摄像头的行为,各监控系统的管理者需要承担更多的责任。监控网络应当专网专用,采购合规厂商的监控产品。”信心对贝壳财经记者表示,监控摄像系统现在行业内已经有完善的安全防护方案,但是因为这一类安全防护的落地会使监控系统的建设周期变长,资金投入变大,并且不是一个强制要求,导致许多监控管理者、建设方不愿在此方向进行投入。
信心认为,未来要提升使用人员的安全意识,及时更新系统软件,找专业安全公司落地安全防护方案。
杭州安恒信息技术公司安全研究院院长吴卓群此前曾为一些智能摄像头企业做过安全监测。他发现,不少厂商的产品在软件设置上存在“不强制用户修改初始密码,甚至不设密码”的问题。
吴卓群表示,尽管现在生产者信息安全意识有所提高,但值得担忧的是此前生产的存在安全漏洞的摄像头已流入千家万户。
新京报记者此前调查中,有视频摄像头品牌客服人员查询记者购买的账号后告知,该摄像头从购买后一直未更改,系用默认连接,“客户连上后,没有修改密码”。客服人员解释称,上述账号对应的家用摄像头是老款产品,需要自己修改密码,升级到最新版本后,若不修改密码,每次登录都会强制提醒用户修改。
近日,记者再次登录该视频监控App后发现,在点击进入某些摄像头ID账户时,确实会弹出“基于用户隐私保护,建议修改密码后继续访问视频”的提醒,但这一提醒并不会出现在所有登录ID的操作中,只是随机跳出。
对于如何防止摄像头被破解,360集团硬件专业委员会执行主席孙浩曾表示,围绕摄像头常见的安全漏洞可以分为三大类:第一类是命令注入漏洞,可以借此执行系统命令或者运行任意程序;第二类是授权问题,可以访问未授权或者通过某个隐藏入口直接访问对应的设备;第三类是服务器存在访问控制缺陷,例如2018年4月HK云服务器发现访问控制缺陷,任意人可以通过该漏洞实现查看摄像、回放录像、添加账户共享等操作。
孙浩表示,影响最大的安全漏洞还是弱密码问题,弱密码之前在摄像机、路由器上都很常见,摄像机上尤其突出,因为多数用于公共安防的摄像机需要和NVR等设备做集成部署,所以多数摄像机都是使用的默认密码,在互联网上只要搜索一下就能够得到主流设备厂商的默认用户名和密码。如果摄像机暴露在公网,通过弱密码一碰,很容易就能够控制摄像机,根本不需要什么复杂的操作。
新京报贝壳财经记者罗亦丹编辑王进雨校对付春愔
本文链接:http://www.slxf119.com/17058.html 转载需授权!
网友评论