公共攝像頭“偷窺”:被破解ID百元打包賣黑產整治風暴刮起
儘管是烏龍一場——民警一年前為破案安裝,但攝像頭洩露隱私留下的“陰影”,往往一經提及便迅速發酵。年前,“使用非法手段破解攝像頭,上傳視頻監控畫面至B站”被曝光,視頻網站上從辦公室到教室的“直播”暴露出公共攝像頭安全問題。爆料網友口中,“這一條黑產可能已經形成,他們發視頻的目的應該是拉人入付費群。”
近日,新京報貝殼財經記者調查發現,不少原為安防監控而設置的攝像頭被破解,並以100至260元不等的價格在黑市上出售。攝像鏡頭中人影攢動,正對著服裝網店的倉庫兼直播間。畫面中,不僅可以看到帶貨主播面對手機直播講解,還有一旁更換衣物的試穿模特。
記者調查中,賣家往往以一批攝像頭ID捆綁銷售,且每個ID包含數個攝像頭鏡頭,場所涉及宿舍、美容院、服裝店等。
貝殼財經記者登錄其中一個攝像頭賬戶,可以清晰看到服裝店收銀台、前後門以及貨架的監控場景。此外,通過店面貨架攝像頭,排列整齊的衣服,挑選衣服的顧客和工作人員等盡收眼底。
值得一提的是,這一黑灰產還打著“直播”的幌子兜售攝像頭畫面。有賣家對記者表示,觀看公共攝像頭“沒意思”,“還有一批情趣酒店攝像頭”。
事實上,國家相關部門近年來一直在不斷加大對偷拍及非法銷售相關設備的打擊力度。2021年5月至8月,中央網信辦會同工業和信息化部、公安部、市場監管總局,在全國范圍開展攝像頭偷窺黑產集中治理,公安機關共抓獲犯罪嫌疑人59名,收繳竊聽竊照器材1500餘套。
黑產售賣攝像頭的信息。
隱私畫面,260元打包賣
此前爆料網友發布的視頻截圖顯示,上傳至B站的監控視頻場所包括學校教室、醫院和商場前台等。
有和黑灰產對抗經驗的吳名(化名)告訴貝殼財經記者,視頻畫面顯示這些攝像頭的位置較為明顯,應該為普通監控攝像頭。“但攝像頭的主人大概率不會自己上傳自己的監控內容到網絡上,應該是攝像頭的ID和密碼遭到了洩露。”
攝像頭安全並非新鮮話題,卻每次伴隨隱私洩露而被推至前台。
2021年4月,貝殼財經記者在攝像頭黑灰產調查中發現,不少已被“破解”的智能攝像頭ID地址,在“直播台”明碼標價公開銷售,價格從40元到200元不等,遭到洩露的攝像頭場景包括公開試衣間、倉庫、店面以及私人家庭。
近期,貝殼財經記者再次登錄相關平台看到,該產業鏈依然存在。不過,此前破解攝像頭的工具和App已經無法使用。
一名攝像頭ID賣家表示,由於監管部門打擊,此前不少“老台”已經停用。而觀看攝像頭監控內容的App也已經“更新換代”,必須通過技術手段才能登錄,購買攝像頭賬號密碼的價格在120至260元之間,而每個ID往往包含數個攝像頭鏡頭。
貝殼財經記者隨機登錄一個ID看到,其一共擁有8組攝像頭,其中4組正在正常運行。根據攝像頭角度可以看出來,這是一組服裝店的監控攝像頭,店面內景清晰可見,攝像頭甚至還有“控制角度”選項。
記者註意到,相比被上傳至B站的教室、醫院等場景,這些被售賣的攝像頭場所甚至包括宿舍、客廳、美容院、服裝店等。
“要教室和醫院(攝像頭)也不是沒有,但沒人看。”賣家告訴貝殼財經記者,“前台有什麼意思,這些鏡頭有對著床和沙發的,看這些多刺激。”
對此,有專家表示,根據我國治安管理法條例中的規定,偷窺、偷拍、竊聽、散佈他人隱私,處5日以下拘留或者500元以下罰款;情節較重的,處5日以上10日以下拘留,可以並處500元以下罰款。但是,這樣的處罰與傳播偷窺偷拍“產品”獲利相較,顯然缺乏力度,不足以對他們形成足夠的震懾。因此,在相關部門予以全鏈條打擊的同時,有必要完善相關法律法規,提高違法者的犯罪成本。
“直播”噱頭:攝像頭對著沙發、床
吳名告訴記者,如果如爆料網友所推測,將監控上傳至B站是為了“引流”,那麼不排除上傳視頻者先發送一些“普通內容”測試能否過審,最終拉人入群再收費,提供涉黃視頻內容。
調查中,貝殼財經記者看到,除了破解已存在的公共攝像頭外,黑灰產平台上被售賣較多的攝像頭視頻類型主要為視角正對沙發、床。調查期間,有賣家對記者表示,觀看公共攝像頭“沒意思”,“還有一批情趣酒店攝像頭,是運作多年的’老台’,感不感興趣?”
此外,該賣家還表示,有已經下載好的酒店監控視頻出售。
貝殼財經記者註意到,攝像頭畫面之所以能衍生出地下生意,往往以“直播”為噱頭。
“買了ID後,打開看不一定一直都有內容,但是實時直播有誘惑力。”有賣家以此理由向記者推薦攝像頭畫面。
貝殼財經記者調查了解到,安裝針孔攝像頭或者能夠破解他人攝像頭ID的人被稱為“機主”。由於掌握賬號和密碼,機主會通過發展代理售賣攝像頭的觀看權。
根據法院曾公開發布的案例文書,有安裝者在QQ群中發送視頻截圖及文字介紹宣傳“推廣”,再以每個邀請碼150元到200元的價格銷售給下線代理,代理則在加價後繼續發展下線或直接售賣給網友進行觀看。經過層層加價後,一個邀請碼最高能賣至600元以上,每個攝像頭最多可生成100個邀請碼,供百人同時在線觀看,而針孔攝像頭的價格則僅有150元左右。
“機主新上台,一個台不保證能有多久,但24小時有人,保證精彩不斷,需要購買聯繫我。”在黑灰產平台中,有代理髮布了這樣的“廣告”。
“對此類售賣攝像頭ID的黑灰產來說,就不存在破解問題了,因為機主本身就是為了售賣觀看權限才安裝的攝像頭。”吳名對記者表示,“實際上,公共區域攝像頭由於存在防火牆,破解難度較高,且畫面較為普通,買家並不多。相比之下,私人安裝的攝像頭,甚至故意購買隱蔽攝像頭安裝到酒店、試衣間等再將ID出售以謀求利益的黑灰產賣家更多。”
中國裁判文書網此前公佈的一起製作、複製、出版、販賣、傳播淫穢物品牟利案件中,被告人趙某在賓館房間內隱蔽處私自安裝攝像頭,並通過網絡將觀看上述淫穢視頻的“邀請碼”銷售給黑灰產從業者,後者加價後再通過網絡相互轉賣或販賣給他人予以傳播牟利。最終,趙某因製作、販賣、傳播淫穢物品牟利罪,被判處有期徒刑十一年。
安裝攝像頭不改密碼留隱患,弱密碼易被“操控”
攝像頭暴露隱私問題的嚴重性,正在提示人們提高警覺。
2021年,北京市第三中級人民法院審結的一起案件中,被告人巫某某控制了全球18萬個攝像頭。“我收藏或錄製的都是一些私人住宅里人體裸露的視頻。”一名巫某某的“客戶”李某證言稱,他註冊App會員後,分兩次支付668元成為終身會員。“觀看不限時間,隨機出現6個鏡頭內容,可以收藏、錄製,內容有私人住宅、公共場所、培訓機構等。”
從2018年至2019年3月5日案發被抓獲,巫某某通過在網絡推廣上述攝像頭實時監控畫面非法獲利人民幣70餘萬元。最終,巫某某犯非法控制計算機信息系統罪,被判處有期徒刑5年,罰金人民幣10萬元,並追繳違法所得。
據了解,巫某某是從網上購買了一款軟件,並非法獲取了某品牌網絡攝像頭的用戶數據庫,在這個數據庫的基礎上搭建了一款App,並實現數據導入,吸引用戶有償登錄應用程序,觀看網絡攝像頭實時監控內容。而其服務器掛在境外。
“這是常規的’脫庫’操作”。吳名告訴貝殼財經記者,“除此之外,還有更笨的方法,就是攻擊那些密碼設置比較弱的攝像頭賬號,甚至還有不更改密碼的賬號。”
杭州安恆信息技術股份有限公司海特實驗室副主任信心對貝殼財經記者表示,目前公共區域的攝像頭安全程度高低不一。由於監控攝像系統多由各個公共區域的管理者安裝,其安全防護程度也不同,部分場所的攝像系統採用了專網專用,部署了安全防火牆,運維人員有專門的安全培訓,這樣的系統安全程度較高,黑客破解的難度較大。
而部分系統也存在權限混亂,密碼簡單,互聯網與監控網絡混合使用,一旦爆發設備漏洞或權限信息洩露,可以被黑客輕易破解。
事實上,貝殼財經記者打開賣家發給記者的攝像頭ID發現,百分之九十以上的賬號密碼都是未更改過的原始賬戶名,如“admin”、“abc”等,密碼也極其簡單。
“為了遏制破解公共區域攝像頭的行為,各監控系統的管理者需要承擔更多的責任。監控網絡應當專網專用,採購合規廠商的監控產品。”信心對貝殼財經記者表示,監控攝像系統現在行業內已經有完善的安全防護方案,但是因為這一類安全防護的落地會使監控系統的建設週期變長,資金投入變大,並且不是一個強制要求,導致許多監控管理者、建設方不願在此方向進行投入。
信心認為,未來要提升使用人員的安全意識,及時更新系統軟件,找專業安全公司落地安全防護方案。
杭州安恆信息技術公司安全研究院院長吳卓群此前曾為一些智能攝像頭企業做過安全監測。他發現,不少廠商的產品在軟件設置上存在“不強制用戶修改初始密碼,甚至不設密碼”的問題。
吳卓群表示,儘管現在生產者信息安全意識有所提高,但值得擔憂的是此前生產的存在安全漏洞的攝像頭已流入千家萬戶。
新京報記者此前調查中,有視頻攝像頭品牌客服人員查詢記者購買的賬號後告知,該攝像頭從購買後一直未更改,系用默認連接,“客戶連上後,沒有修改密碼”。客服人員解釋稱,上述賬號對應的家用攝像頭是老款產品,需要自己修改密碼,升級到最新版本後,若不修改密碼,每次登錄都會強制提醒用戶修改。
近日,記者再次登錄該視頻監控App後發現,在點擊進入某些攝像頭ID賬戶時,確實會彈出“基於用戶隱私保護,建議修改密碼後繼續訪問視頻”的提醒,但這一提醒並不會出現在所有登錄ID的操作中,只是隨機跳出。
對於如何防止攝像頭被破解,360集團硬件專業委員會執行主席孫浩曾表示,圍繞攝像頭常見的安全漏洞可以分為三大類:第一類是命令注入漏洞,可以藉此執行系統命令或者運行任意程序;第二類是授權問題,可以訪問未授權或者通過某個隱藏入口直接訪問對應的設備;第三類是服務器存在訪問控制缺陷,例如2018年4月HK雲服務器發現訪問控制缺陷,任意人可以通過該漏洞實現查看攝像、回放錄像、添加賬戶共享等操作。
孫浩表示,影響最大的安全漏洞還是弱密碼問題,弱密碼之前在攝像機、路由器上都很常見,攝像機上尤其突出,因為多數用於公共安防的攝像機需要和NVR等設備做集成部署,所以多數攝像機都是使用的默認密碼,在互聯網上只要搜索一下就能夠得到主流設備廠商的默認用戶名和密碼。如果攝像機暴露在公網,通過弱密碼一碰,很容易就能夠控制攝像機,根本不需要什麼複雜的操作。
新京報貝殼財經記者羅亦丹編輯王進雨校對 付春愔