『腾讯』用户隐私廉价出售网络摄像头“黑产链”有多“黑” |黑客|2019科技之光|物联网|

本文插图
【『腾讯』用户隐私廉价出售网络摄像头“黑产链”有多“黑”】
随着生活越来越 " 智能化 " ，利用摄像头进行视频聊天、监控宠物、安全防护的应用越来越多，这些摄像头具备的联网和云端存储，甚至公网开放服务等功能，在提供便利时，也让不法分子有可乘之机。在 3 月 25 日腾讯在线举行的 " 守护者计划媒体沙龙 " 上，腾讯守护者计划安全团队称，网络摄像头应用已形成一条 " 黑产链 " ，有不法分子获取网络摄像头标识 ID 在国外通讯工具上贩卖，不到 200 元就可以买到 500 个 ID 号。
2020 年 2 月 12 日，国家互联网应急中心（简称 CNCERT）发布预警，境外黑客组织曾声称于 2 月中旬对我国发起网络攻击，视频监控系统成为攻击重点。国家互联网应急中心下属的关键基础设施安全应急响应中心分析称，本次网络攻击活动主要利用了远程命令执行漏洞、恶意代码植入、登录绕过漏洞三类漏洞。 2 月 13 日至 2 月 29 日期间，攻击高峰达到 600 万次 / 天。物联网设备已成为攻击的重要目标，只要物联网设备暴露到互联网上，随时有被攻击的可能，并且可能被不同组织反复攻击。

本文插图
腾讯守护者计划安全专家 KK（化名）介绍说，摄像头包括一体机、针孔、鱼眼、枪式、半球形和手机摄像头，其中针孔摄像头一般出现在偷拍场合。摄像头对公共互联网开放的安全问题已是全球共同的挑战。
北京华顺信安科技有限公司与白帽汇安全研究院在 2018 年底发布《2018 年摄像头安全报告》显示，我国对公共互联网开放访问权限的摄像头设备占全球的 17% 。 FOFA（网络空间安全搜索引擎）数据显示，截至 2018 年 11 月底，全球共有 228 个国家 8063 个城市中的 2635 万摄像头设备对公共互联网开放访问权限。中国仅次于越南，以 165 万个的数量排第二，约占 17% 。中国各省中，广东共有 16.3 万台设备，约占 13% 。 KK 指出，一旦摄像头被入侵，就会造成个人隐私大规模泄露、敏感场所存在失泄密风险，给公共安全带来失控隐患。
用户隐私廉价出售
值得注意的是，摄像头应用已形成一条集黑客破解、买卖、偷窥于一体的视频摄像头网络黑产链。 KK 指，黑产链上中下游可大致分为摄像头破解工具开发、网络摄像头扫描发现、摄像头搜集售卖三个环节。在攻击流程中，通过弱口令密码可以破解，一旦被攻破后，黑产人员通过画面的隐私程度进行筛选，特别敏感的画面打包出售获利。比如就有不法分子获取网络摄像头标识 ID 在国外的通讯工具上贩卖， 198 元就可以买到 500 个摄像头 ID 号。

本文插图
腾讯守护者计划安全专家张涛称，平台工具隐匿化是一个全球性的问题，导致追踪和打击产生一定难度，但这并不代表它们能够永远藏下去，随着黑产链变得长，总可以从一些环节突破进行打击。
买来就用易被攻破
谈及对个人用户的影响， KK 强调，大多数用户对摄像头安全没有充分认识，往往买来就用，有的通过弱口令、默认密码直接使用，往往被黑产团伙拿来直接破解。
腾讯守护者计划团队建议，要更严厉打击治理网络黑产摄像头，首先是依法严厉打击摄像头黑产团伙，其次要对重要敏感摄像头进行安全防护的完善，比如对政府机关涉密场所的网络摄像头建议与互联网隔离，定期升级呼叫系统；此外也要宣传引导用户使用安全，加强宣传教育震慑违法犯罪。

『腾讯』用户隐私 廉价出售 网络摄像头“黑产链”有多“黑”

『腾讯』用户隐私廉价出售网络摄像头“黑产链”有多“黑”