当教师拿起课本站在讲台上向学生传授知识、解惑的时候,当一名护士站在导购台上为来来往往的患者登记订单、准备药品换药的时候,当一天工作结束后坐在家里放松地享受闲暇时间的时候。在某个黑暗的地方,无数的双眼可能注视着这一切。
1月17日,哔哩哔哩公司(以下简称“BC站”)回应用户上传了破解的公共场所监控视频的质疑,已经进行了第一次组织调查,发布相关内容,封锁相关账户,向主管部门举报账户信息,目前正在进行后续调查。
据南岛隐私护卫队调查,互联网平台上已经形成了很多完善的摄像头偷窥黑色产业链,大部分都是包装销售破解摄像头的账号和密码,每个“大”相当于监控下的固定场所,全天播出。一次性购买6-9台的价格从98元到600元不等,账号有效期大部分为1-3个月,如果被没收,可以“包售后包补充”。
这些不法分子是怎么破解摄像头的?如何有效预防这种事件再次发生?学校、医院等公共场所的监控系统被入侵是否意味着更严重的安全风险?一些专家表示,如果用户在使用设备的同时不更改原始密码或密码太简单,就能大大减少非法分子破解的难度,保存好密码,将原始密码更改得更复杂是最重要的。
Bstation怀疑侵入摄像头后监控的视频。
最近,关于“BC怀疑用户有裂缝的监控画面”的新闻上了热搜。一位网民在一个平台上发表说,发现了用户在BC站侵入教室、医院等公共场所摄像头后获得的监控录像。评论区不仅评论了画面中的被爆者,还发表了很多不引人注目的调戏性言论。(这是一个伟大的时代。)(另一个时代。)(另一个时代。)(另一个时代。)
bstation视频页面捕获
bstation视频页面屏幕截图
根据帖子,BC有大量运营这种内容的小号,这不是个别现象。“我认为举报一两个up(视频网站等平台上传视频音频文件的人)是无效的。”另一方面,爆料者推测,大面积的摄像头被黑客侵入,流入黑色产业,发送视频的目的是为了提醒网民们,在付费偷窥集团吸引观众工作时要小心周围的摄像头。
帖子发表后,引起网民的广泛关注,被转载到微博等其他平台。不久,BC在接到举报后第一时间组织调查,下达相关内容,封锁相关账户,向主管部门申报账户信息,并宣布正在进行后续调查。
“恶心又危险”“现在到处都有摄像头,但控制不严格”“猥琐的人什么都可以意淫”“报告曝光举报,给锅端”.报道在网络上继续生效后,评论区令人震惊和愤怒的言论占据主流。除了教室、医院等公共场所外,还有很多网民担心为照顾老人、儿童、宠物等而安装在家里的摄像头的隐患。
事实上,近年来关于摄像头窥探黑色产业链的报道已经很常见了。去年12月,CCTV新闻发现,在一些社交平台上,与偷窥相机有关的人群很多,150元购买400个相机ID进行偷窥,300元可以购买相机扫描软件,该软件在一分钟内扫描数千个相机ID。
同年10月,江苏泰州的网络警察在巡逻中发现,客厅、卧室、更衣室等隐私场所的摄像机CCTV大量出售,分别以129元或198元包装了400多套破解的摄像机账号和密码。此后,警方接连逮捕了主犯马某和代理线下等34人,揭发了被起诉的8600多人的相机账户,揭发了110多万韩元。
98元可以看7个房间的监控录像。
为了进一步了解摄像头偷窥黑色产业链,南岛隐私护卫队秘密访问了多个相关集团。
南岛隐私护卫队在百度贴的“监控摄像头”“摄像头吧”中发现了大量摄像头偷窥视频销售账号,为了防止帖子受到限制,大部分帖子只留QQ号,邀请买家在QQ上继续沟通。例如,使用“酒店”等敏感词语将被谐音取代。
员额捕获
e566f970477ebbbe051e9d26e04f?_iz=31825&from=ar;x-expires=1706865578&x-signature=6X0JDWTcUxONCZ7KJUmT9tsXpZQ%3D&index=3" width="640" height="753"/>贴吧帖子截图
在以购买视频为由加上卖家QQ后,对方便开始了推销。卖家首先会以“闪照”形式或截取监控视频中的一段作为预览发给买家参考,然后双方谈价。售卖的视频类型以酒店、家庭监控视频为主,酒店的价格偏高。
卖家发预览视频
卖家发预览视频
卖家报价
在与约六个卖家交流后,南都·隐私护卫队了解到其大多是以打包形式售卖被破解摄像头的账号和密码,每个“台”对应一个监控下的固定场所,一次购买六至九个台的价格在98元至700元不等,账号有效期大多在一至三个月。有效期结束后,后期每月的更新费用都在百元以下,并且“介绍新客户来免费看更新”。
卖家发布在群里的监控视频画面
不仅如此,卖家还会信誓旦旦地保证账号“绝对安全”“出了事和看客没有任何关系”,如果被查封还能“包售后包补”。除了登录账号观看监控直播,还能观看回放。此外,点进这些卖家的账号主页,除了展示“销售业绩”,甚至还售有违禁药品。
卖家的QQ空间
卖家的QQ空间
值得注意的是,绝大多数被售卖的摄像头账号及密码都是在一款名为“萤石云视频”的App上使用的。“萤石云视频”是一个智能硬件管理平台,由杭州萤石软件有限公司(下称“萤石”)开发,除了售卖摄像头等电子产品,更主要的是提供远程连接摄像头查看实时视频、历史录像,与被监控区域进行语音对话、视频留言等服务。
当用户购买该摄像头产品后,便要下载“萤石云视频”App以实现远程监控的目的。在华为应用市场搜索该App,其下载量达到五亿次,而淘宝店铺“萤石官方旗舰店”显示粉丝数约76万,畅销的某款摄像头产品月销一万以上,俨然是监控摄像头领域的热卖品牌。
为此,南都·隐私护卫队联系了萤石的客服人员,对方称目前并未发现有用户设备被破解的情况发生,并表示萤石的摄像头设备只能被一个主账号进行绑定,每个账号可登录十个终端,仅主账号对设备有操作权限。
“如果没有把账号密码告诉他人,也没有把设备分享给他人,那就只有主账号能登录使用。”客服强调,用户可以在App上检查设备绑定了多少个终端,如果存在异常登录的终端就应立刻删除并修改密码。“哪些终端在上面登陆都是有记录的,定期查看就可以。”
此外,当南都·隐私护卫队问起破解摄像头的原理以及能破解的范围时,视频卖家则回答“这东西都有漏洞,有些家庭用户不懂”“破解软件要自动扫描,扫到什么破解什么”。
与卖家的聊天截图
与卖家的聊天截图
“一定要更改原始密码”
不法分子究竟是如何破解摄像头的?学校、医院等公共场所的监控系统被入侵是否意味着更严重的安全隐患?怎样才能有效防范此类事件再次发生?
北京汉华飞天信安科技有限公司总经理彭根分析,这种破解存在两种情况。一方面是系统本身存在漏洞,比如无需密码就能进入监控系统,而不法分子发现并且利用了这一漏洞;另一方面则是监控系统使用的是设备出厂时的原始账号和密码,使用期间未曾更改,或设置的密码过于简单,于是很容易地便被不法分子破解并侵入了。
彭根指出,在使用设备的过程中,很多用户常年不更改密码,或者许多不同的账号都使用同一个密码,这些情况都是比较危险的。“黑客知道你一个密码,基本上就知道你全部的密码。”另外,过于简单的密码也意味着更大的隐患,如使用一串连贯的数字或字母都是“不可取的”。
谈及公共场所监控系统被入侵的风险,独立电信分析师付亮指出,学校、医院等公共场所有一套相对独立的监控系统。以医院的医疗整治系统为例,其与医院的监控系统并无联系,“不会因为有人能看到医院走廊的监控视频,就能把病人的电子病历给偷走,这是两套完全不同的系统。”
那么,如何才能进行有效防范?彭根建议,首先尽量购买大型厂家生产的品牌摄像头,更有安全保障。此外,最重要的是保管好密码,一定要把原始密码更改为更为复杂的密码,“可以减少大部分的安全隐患”。
付亮表示,要防范此类事件再发生,需重点关注两个方面。
一是监控系统在开发、测试以及升级环节都应更严谨、更完善,通过多角度的反复测试修复可能被不法分子利用的薄弱环节;二是保障监控系统安全的连续性,在使用过程中建立起一套完整的设备异常跟踪、操作日志分析等功能,通过分析摄像头设备的日志数据找出异常操作,及时查处非正常登陆等情况。
“这就好比亡羊补牢。”付亮打了个比方,“当我羊丢了,我就去找问题在哪,然后把洞堵住。那么我需要每隔一段时间都数一数还有几头羊,如果我的羊圈里有三百头羊,不能从三百头变成两百头了我还不知道。同样地,我需要经常分析数据,看看有没有异常登录的情况,及时采取措施。”
(来源:南方都市报客户端)