Tech

¿Sin seguridad ni privacidad? Más de 100 empleados de Verkada tenían acceso a cámaras hackeadas

La empresa sufrió una filtración de datos en la que hackers consiguieron acceder a la transmisión en vivo de 150 mil cámaras de empresas, cárceles, departamentos de policía y escuelas.

Más de 100 empleados de la startup de cámaras de seguridad Verkada podían ver las cámaras de sus miles de clientes, incluidas corporaciones globales, escuelas y departamentos de policía, según tres exempleados que conocen los protocolos de seguridad de la compañía.

Verkada fue víctima de una violación el lunes, cuando hackers obtuvieron acceso a lo que se conoce como una cuenta de "superadministrador" que les permitió ver todas las transmisiones en vivo y los videos archivados de los clientes de la empresa, informó Bloomberg. Con acceso a 150 mil cámaras, los hackers pudieron ver el interior de Tesla, así como entrevistas policiales y a empleados de hospital con pacientes.

El uso de cuentas superadministrador dentro de Verkada era tan generalizado que se extendía incluso al personal de ventas y los pasantes, dijeron dos de los empleados. "Literalmente había pasantes de 20 años que tenían acceso a más de 100 mil cámaras y podían ver todos sus videos a nivel mundial", dijo un exempleado de alto nivel, que pidió no ser identificado.

La compañía con sede en San Mateo, California, dijo que el acceso estaba limitado a aquellos empleados que necesitaban abordar problemas específicos de ingeniería o de clientes, y que tenía políticas estrictas para proteger la privacidad de sus clientes.

"Verkada anteriormente limitó el acceso a las cuentas de los administradores internos a los ingenieros y al personal de soporte para que pudieran abordar las preguntas y los problemas técnicos de los clientes", dijo un portavoz de la compañía en un comunicado en respuesta a preguntas de Bloomberg News.

"El programa de capacitación y las políticas de Verkada para los empleados son claros en cuanto a que los miembros del personal de apoyo debían y deben garantizar el permiso explícito de un cliente antes de acceder a la fuente de video de dicho cliente".

La violación de esta semana a la compañía fue ejecutada por un colectivo internacional de hackers con sede en Europa. Tillie Kottmann, una de las hackers que se acreditó el incidente, dijo que querían mostrar la omnipresencia de la videovigilancia y la facilidad con que esos sistemas podrían exponer los espacios confidenciales de los usuarios.

No está claro si la mayoría de los clientes de Verkada sabían que sus empleados tenían acceso a las cámaras que compraron de la compañía. Un exempleado dijo que estaba implícito que los empleados no tendrían acceso, pero comentó que los ingenieros miraban rutinariamente las cámaras de las personas todos los días.

En Verkada, al igual que otras compañías, las cuentas de superadministrador tienen propósitos legítimos. Los ingenieros las utilizan para depurar productos y el personal de soporte para ayudar a los clientes con problemas continuos. Pero la facilidad con la que los hacktivistas obtuvieron acceso a tantas transmisiones de cámaras en vivo sugirió que había medidas técnicas limitadas en Verkada que evitarían que sus propios empleados hicieran lo mismo.

Los frágiles protocolos de seguridad dejaron espacios confidenciales de los clientes abiertos a intrusos, según los exempleados. Aunque normalmente el uso de una cuenta superadministrador requiere una autenticación multifactor, cualquier usuario podía simplemente desactivarla, dijo uno de los exempleados.

Algunos aspectos del uso de cuentas superadministrador con Verkada fueron previamente informados por IPVM, una publicación que cubre la industria de las cámaras de vigilancia.

Cuando un empleado accedía a la cámara de un cliente, el sistema Verkada requería que presentara una razón para hacerlo. Estas entradas de empleados se registraban, pero esa documentación rara vez se verificaba, dijo un exempleado.

Verkada también ofrece un "modo de privacidad" a los clientes, lo que permite ocultar las cámaras a los empleados de Verkada, según un exempleado. Pero las cuentas de superadministrador permitirían a los empleados desactivar esa función, lo que les daba acceso a las imágenes de la cámara, indicó el exempleado.

Hackers exponen a Tesla, cárceles y hospitales tras infiltrarse en 150,000 cámaras de seguridad

Ataque a Microsoft atribuido a China se convierte en una crisis global de seguridad cibernética