יותר מ-40 אלף מצלמות אבטחה מכל העולם, המעבירות וידיאו בסטרימינג בשידור חי, פרוצות למעשה לעין כל, וניתן לגשת לצילומים שלהן מיידית ללא צורך בשום סוג של אימות, הצפנה או אפילו סיסמה בסיסית. ברוב המקרים, כל גולש יכול לגשת לכל מצלמה כזו בזמן אמת, פשוט באמצעות הקלדת כתובת ה-IP שלה.
כך חושף מחקר חדש שערכה חברת אבטחת הסייבר הבינלאומית ביטסייט (Bitsight) מבוסטון. על-פי החוקרים, שלטענתם סרקו את כל האינטרנט, ניתן למצוא מצלמות פרוצות כאלו בכל אזור גיאוגרפי בעולם ובכל סוגי התעשייה: רק בארה"ב פועלות קרוב ל-14 אלף מצלמות חשופות, ומספרן גבוה במיוחד במדינות כמו קליפורניה, טקסס, ג'ורג'יה וניו-יורק. המדינה השנייה ברשימת הפרוצות ביותר היא יפן, עם 7,000 מצלמות החשופות לעין כל, ואחריה אוסטריה, צ'כיה ודרום קוריאה, שבכל אחת מהן יש קרוב ל-2,000 מכשירים פרוצים.
ממשרדים, דרך פסי ייצור ועד אוטובוסים
חוקרי החברה הצליחו לחדור למצלמות המותקנות בחללי משרדים, בפסי ייצור של מפעלים, בחוות שרתים, בבתי חולים וכן ברכבות ובאוטובוסים. הם צפו באופן חופשי בצילומי אמת מאתרים רגישים, ובמקרים מסוימים אפילו הצליחו לפענח טקסטים חסויים שהופיעו על גבי לוחות תדריך בחדרי ישיבות. לדבריהם, לא צריך להיות איש מקצוע או האקר מתוחכם כדי לגשת למצלמות כאלה; ברוב המקרים - סקרנות, דפדפן אינטרנט רגיל וניווט לממשק המצלמה הם כל מה שצריך.
רוב המכשירים החשופים משתמשים בפרוטוקול האינטרנט הבסיסי HTTP, בעוד שהשאר משדרים דרך RTSP, שהוא פרוטוקול נפוץ לשליטה וניהול מדיה בסטרימינג ברשתות IP אצל חברות וארגונים. אגב, מתוך כלל 40 אלף המצלמות הפרוצות שהתגלו, מצלמות מבוססות HTTP היוו 78.5 אחוזים, בעוד שאלו המבוססות על RTSP היוו רק 21.5 אחוזים.
ביטסייט מציינת, כי לא כל מצלמה המחוברת לאינטרנט היא סיבה לדאגה: חלק מהשידורים החיים של מצלמות כאלה – למשל חופי ים או אתרי תיירות - מכוונים ומוגדרים במכוון לצפייה ציבורית. עם זאת, רוב מצלמות האבטחה כיום משולבות בסביבות פרטיות יותר - כולל מתחמי מגורים המנטרים דלתות כניסה, חצרות אחוריות ואפילו חדרי מגורים.
סיכוני אבטחה חמורים
הבעיה אינה חדשה: ביטסייט עצמה התריעה עליה במחקר דומה כבר ב-2023, והמחלקה לביטחון המולדת (DHS) בממשל האמריקאי הזהירה מוקדם יותר השנה מפני מצלמות אבטחה שעלולות לשמש לריגול. DHS התייחסה במיוחד למיוחד למצלמות מתוצרת סין, שעשרות אלפים מהן פועלות בארגוני תשתיות קריטיות ברחבי ארה"ב, במיוחד בתחומי האנרגיה והכימיקלים.
אבל מתברר כי המשתמשים לא למדו דבר, והמצב לא השתפר. לפי המידע שאספו חוקרי ביטסייט, המצלמות החשופות גורמות לא רק לפגיעה בפרטיות, אלא גם לסיכוני אבטחה חמורים: בפורומים המתקיימים ב"רשת האפלה" - אזור באינטרנט שבו אנשים יכולים להסתיר את הזהות והמיקום שלהם - משתמשים משתפים ביניהם מידע, כלים וטכניקות כדי לקבל גישה לא מורשית למצלמות אבטחה, ואפילו מוכרים אותם לכל המרבה במחיר.
בפורומים המתקיימים ב"רשת האפלה", משתמשים משתפים ביניהם מידע, כלים וטכניקות כדי לקבל גישה לא מורשית למצלמות אבטחה, ואפילו מוכרים אותם לכל המרבה במחיר
הפידים הללו יכולים לשמש בין הייתר לריגול, למיפוי נקודות חולשה באתרים ביטחוניים ולאיסוף סודות מסחריים, אבל גם לניסיונות סחיטה באמצעות צילומים שצולמו בבתים פרטיים. לפי DHS, "פורץ סייבר יכול להשתמש במצלמות המוצבות במערכות בטיחות כדי להשבית אזעקות, להפעיל אזעקות שווא או לפגוע במנגנוני אל-כשל".
ביטסייט היא חברת מחקר אבטחת סייבר, שמתמחה בניתוח חברות, סוכנויות ממשלתיות ומוסדות חינוך. היא מדרגת יותר מ-200 אלף ארגונים על רמת אבטחת הסייבר שלהם, והדירוגים שהיא מספקת משמשים, בין השאר, בנקים וחברות ביטוח.
כך תאבטחו את המצלמות שלכם
בעקבות הדוח, החברה ממליצה למשתמשים ולארגונים לבדוק מחדש כיצד המצלמות שלהם מוגדרות, לעדכן אותן לגרסת הקושחה העדכנית ביותר, ולוודא שהן מוגנות מאחורי Firewall ("חומת אש") ומחוברים לרשת מאובטחת.
3 צפייה בגלריה
מצלמת אבטחה. חשוב לוודא שאין לאיש גישה אליה מחוץ לרשת הביתית שלכם
(נוצר על ידי ChatGPT)
בנוסף, יש להחליף את כל שמות המשתמש והסיסמאות המוגדרים כברירת מחדל, מכיוון שמכשירי מצלמה רבים נשלחים עם סט ברירת מחדל נפוץ של סיסמאות גנריות (admin, 1234 ועוד).
דרך פשוטה שבה תוכלו לבדוק אם גם המצלמה הביתית שלכם חשופה לגישה של אחרים ברשת, היא על ידי גישה אליה מרחוק, ממכשיר הממוקם מחוץ לרשת הביתית. אם אתם מצליחים לצפות בפיד המצלמה מבלי להיכנס קודם לאפליקציה מאובטחת או להשתמש ב-VPN (רשת פרטית וירטואלית) - סביר להניח שהיא בסכנת חשיפה לכל אחד באינטרנט.
ההמלצה היא להשבית גישה מרחוק למצלמה אם אינכם זקוקים לה; למשל, אם אתם משתמשים במצלמה רק ברשת הביתית שלכם, אין סיבה לאפשר גישה מרחוק אליה.בנוסף, כדאי גם לעקוב אחר פעילות חריגה ולהגדיר התראות במקרה של ניסיונות התחברות בלתי צפויים.
