摄像头再次将偷窥你,这锅谁背?

浙江大华技术股份有限公司是一家以安防产业为主的公司,简单来说就是做摄像头及相关设备。而就在近日,外媒报道说大华又双叒叕出事了。有数以万计的大华设备的登录密码已缓存在 ZoomEye 返回的搜索结果中。黑客可以用这些摄像头干好多坏事,

先不要觉得疑惑,让我们慢慢道来。

这件事是怎么回事

专门从事物联网安全的网络安全公司 NewSky Security 的首席研究员 Ankit Anubhav 发现数以万计的大华设备的登录密码依然缓存在 ZoomEye(一个搜索引擎)返回的搜索结果中,并且这些密码,还是可以运行老旧的大华固件的 DVR。

外媒 Bleeping Computer 报道,上周早些时候,国外技术人员 Anubhav 发现物联网搜索引擎 ZoomEye 已经以这种方式对这些大华设备进行索引。这些漏洞依然存在在我们的生活中。Anubhav 说:「事实上黑客不需要利用这个漏洞,只需要创建一个免费账户,通过一定的技术手段,就可以得到这些明文密码。」

Bleeping Computer 通过搜索发现了很多易受攻击的设备。例如,发现有近 15,800 个大华设备,密码为「admin」,超过 14,000 个设备密码为「123456」;超过 600 个设备密码为「password」。因为用户的疏忽,长时间使用简单密码,才导致黑客有了可乘之机。

虽然该漏洞自 2013 年以来就已为人所知,但自修补以来,许多大华设备所有者未能更新其设备,甚至直到今天仍然在线部署运行过时固件的 DVR。这就形成了个人隐私隐患。

就在一年前的 3 月 5 日,知道创宇旗下漏洞平台 Seebug 上收录了一位名为「bashis」的国外安全研究员发布了一个漏洞公告,声称大华科技的多款摄像头存在漏洞。随即在 2017 年 3 月 6 日大华官方在发布漏洞公告称 (Security-Bulletin_030617) 里确认了该漏洞存在并发布了最新的固件里修复了该漏洞。

所以,这锅应该让大华背吗?这是因为一些人安全意识不强,并没有按照官方的指示进行更新安装,所以才酝酿成了今天的密码泄露事件。

通过这件事情,不禁让我们想起不久之前微信支付「0 元购」事件,由于微信支付接入的商家数量达到上百万,使用微信支付老版本的商户不在少数。虽然微信官方更新了系统,可是由于商户平台并非需要每天登陆的,很多商户并不知晓有此更新,甚至有些集成商户由于集成商没有任何通知,导致他们至今不知道该如何是好。

不更新的危害有多严重?想想勒索病毒“WannaCry”,就知道了。在去年4月,黑客组织公布了漏洞信息,如果在一个月的时间里打了补丁,便会幸免。但没有打补丁的那些人,便纷纷被黑客勒索,成为了待宰羔羊。

网络摄像头在日常生活中越来越普及,交通路口抓取车牌号码、幼儿园监控小孩、小区车牌识别都离不开它。这些摄像头会跟计算机或其他录像等硬件设备连接,以便进行图像存储和及时浏览。甚至还有很多摄像头直接和网络连接,以方便客户通过浏览器或者客户端进行连接管理和查看。商家的本意是为了方便用户进行查看,但很多网络摄像头由于厂商对安全重视不够,所以有些人可以恶意通过技术手段可以很方便对存在漏洞的网络摄像头进行存取和浏览,在有些情况下,还可以通过获取网络摄像头所在服务器的权限,随意进入该摄像头所在的网络,危害实在很大。

所以,在防范个人信息泄露的攻防战里,每一个用户都应该做到自己该做的事情,加强自己的安全隐私意识,自主的保护自己以及身边的人的安全隐私。而不是只想让其他公司为事故买单。

防范措施及建议

目前网上已经出现利用该漏洞恶意程序,而官方未发布相应补丁。用户可采取以下措施加固安全:

1. 修改默认 root 密码为其他强健密码。

2. 对外不提供 web 访问。或者将地址设置为一个复杂的名称,使其默认地址不被访问。

3. 对服务器可写进行严格限制。

4. 把默认的 admin 密码修改为复杂的个人密码。

5. 及时进行软件和硬件的升级,时刻谨记没有一劳永逸的安全。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180717A003G600?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券