摄像头窥私调查:一元钱的隐私产经
12 月 20 日,360 公司水滴直播产品团队发布公告称:由于内部业务调整,水滴直播自即日起停止运营。360 智能摄像机将专注提供可靠的安防监控功能,继续为用户提供服务。
据悉,事件缘起于一篇题为《一位 92 年女生致周鸿祎:别再盯着我们看了》的文章。该文作者指责 360 公司将商家监控摄像头同步在旗下水滴直播平台上,侵犯了被拍摄者的个人隐私,引起了社会的广泛关注。
《中国经营报》记者调查发现,如今市场上存在出售相关破解软件、监控视频和摄像头 ID 及密码的交易,一个监控摄像头的 ID 和密码单价最低仅需 4 元就可获取,一条隐私视频的单价则仅需一元。
" 实际上,监控设备的漏洞早已公开,由于传统厂商的疏忽,硬件商在其中应承担起主要责任。" 猎豹移动安全专家李铁军向记者透露,相关的破解软件制作与开发成本几乎为零,这也就造成了大量涉及用户隐私的监控视频在网上以极低的价格被兜售。
" 楚门的世界 "
在今年 7 月 18 日,国家质检总局的风险提示称,国家质检总局产品质量监督司组织开展了智能摄像头质量安全风险监测:共从市场上采集样品 40 批次进行了检测,结果表明,32 批次样品存在质量安全隐患。其中,28 批次样品数据传输未加密;20 批次样品初始密码为弱口令,或者用户注册和修改密码时未限制用户密码复杂度;16 批次样品对用户密码、敏感信息等数据,在本地存储时未采取加密保护措施;10 批次样品后端信息系统存在越权漏洞,同一平台内可以查看任意用户摄像头的视频;5 批次样品后端信息系统存储的监控视频可被任意下载,或者用户注册信息可被任意查看。
事实上,利用破解软件入侵智能家居摄像头的不法分子实繁有徒。在 2017 年 7 月,北京市公安局曾发布消息称成功打掉了全国首例网上传播家庭摄像头破解软件的犯罪链条,抓获涉案人员 24 名。
水滴直播平台身陷舆论风波后,记者就水滴产品安全性能等方面问题向 360 方面询问,对方表示不便再作回应。
此前,360 方面在接受媒体采访时表示:"92 年女生在文章中多次说商家不清楚直播功能,实际上是混淆概念,诱导读者认为只要是 360 智能摄像机就会一直做直播,故意制造社会恐慌。用户新买的摄像机实际上是没有直播功能的,如果用户想要做直播,还需要经过好几个复杂的步骤。"
天猫电器城的一位店小二也告诉本报记者,水滴的直播功能在出厂时处于关闭状态,而网上流传的部分监控视频实际上是通过非法渠道偷拍而来。
北京志霖律师事务所律师、中国政法大学知识产权中心特约研究员赵占领表示,商家在未告知消费者并征得其同意的情况下通过水滴直播进行直播是明显的违法行为,侵犯了消费者的肖像权。但消费者在公众场合消费是否属于隐私存在争议,商家是否侵犯消费者隐私权也值得商榷。
赵占领告诉记者," 如果平台明知道商户违法直播而不作为,就要承担连带责任。根据《侵权责任法》第三十六条规定的‘通知 - 移除’规则,如果用户向平台举报商家侵权,平台不作为,也要承担连带责任。"
黑产链条
本报记者调查发现,这种以贩卖隐私视频获利的违法行为已形成一条完整的黑色产业链条,涵盖破解软件的销售、破解的监控摄像头 ID 销售、监控视频剪辑、监控视频销售等。
12 月 20 日下午,本报记者在 QQ 群组里输入 " 摄像头 " 等关键字,搜索结果页面显示有数十个相关群组,人数在 200~500 人不等。记者随机加入了其中两个群组,加入的短短半天时间内,就有近 80 名新人加入群聊,并且不断有人添加记者好友询问是否需要购买破解软件与 ID 账号。
一名贩卖破解软件的人员向记者兜售 " 破解套餐 ",破解摄像头软件 + 教程+IP 扫码机,价格只需要 220 元,另外还可以提供包括五千多个宾馆房间摄像头和一万多个卧室内摄像头的 IP(网络之间互连的协议)。
据了解,不法分子常用的破解方法主要是通过 IP 代理找到监控摄像头 IP,在通过设置 IP 起始和结束范围来获得大量的 IP 地址,之后将扫描到的 IP 地址导入软件,进行批量检测暴力破解,将文本中的 IP、账号密码导入到软件,就可以窥探到摄像头的内容。
"50 块钱 10 个摄像头 ID 和密码,通过有看头 APP,输入这些 ID 和密码,就可以实时看监控摄像头拍的内容。如果你肯出 100 块钱,我可以卖给你 25 个,都是对着床、浴室和厕所的,很刺激。" 一位出售监控视频的人向记者介绍,除有看头 APP 外,IPcam、云视通、V380 等类似的 APP 也可以通过相同的操作来观看实时监控。
" 一般来说,很多人安装了就不改密码了,所以只要你看的时候不转动摄像头就没事。但如果那边的人发觉了,并且改了密码,你就没法看了,只能重新破解。" 上述出售监控视频的人士说," 你要买破解软件的话,我是代理商,可以 500 块钱卖给你。"
记者测试发现,该人士出售的 ID 账户密码均是初始密码 123,而且通过有看头 APP 还可以看到当前有多少人在观看该监控。
此外,该产业链中还有人负责将监控的视频有选择地剪辑打包出售。该人士告诉记者," 扫描软件很好用,之后什么 IP 都不缺,随时观看还可以卖给别人,我每天能卖出两三百块钱的视频资源,你可不要错过这个机会。"
记者了解到,这些剪辑过的视频价格在一块钱一条左右,其过程是先将截取的监控视频(内容多为偷拍到的隐私视频)发给专门的人员进行剪辑加工后,或再卖给下游,再出售给购买的人,或由拥有破解软件的人直接录制出售给他人。
此外,在这个黑色产业链条中,还提供了其他 " 商品 "、服务。购买者可以选择缴纳 1000 元费用成为会员。从此之后,无需再交任何费用,便可以及时获得更新的监控视频,主要是宾馆、浴室、厕所、卧室中的监控视频画面。另外,还可以选择花费 500 元代理出售监控摄像头的破解软件。
由此可见,通过购买破解软件进行摄像头破解,获取相关视频后出售,前后成本价格仅为 300 元左右,随着破解的监控摄像头越多,可出售的视频数量和 ID 密码也随之增加。
若按上述人士所称的 " 每天出售 200 条视频 " 计算,第二天便可收回成本,每月仅出售视频便可非法获利近 6000 元。而破解软件的成本趋近于零,每经一次代理商,价格便上涨近百余元。若算上吸纳 " 会员 " 的收入,每月非法获利则更多。
软硬件漏洞
" 大量联网摄像头固件存在安全漏洞,这些破解软件采用批量破解的技术,利用黑客工具远程扫描,就可以完成破解。这种 IP 扫描,是在整个网络中,扫描开放了特定端口的设备。最简单的方法是弱密码逐个推算,通过这种方法就能控制大量摄像头。" 李铁军说," 由于很多监控视频观看平台存在较低端的漏洞,破解软件的制作成本接近于零,其技术门槛也相对较低,这使黑色产业链条的各环节都有利可图,买卖用户隐私的现象愈发猖獗。"
12 月 20 日下午,记者就调查采访中发现的情况向有看头(深圳技威时代科技有限公司旗下产品)询问时,对方表示对此并不知情。云视通(济南中维世纪科技有限公司)的工作人员则告诉记者,只需要更改监控摄像头的密码就可以防止别人偷看,在没有更改密码或者默认初始密码的情况下,其他人只要知道设备的 ID 号,就可以在手机软件上随意添加设备并观看。
李铁军则表示,在软件系统有漏洞的情况下,强密码的作用有限。用户想要预防隐私泄露,最好安装具备一定安防标准的设备,并且增加密码难度。同时,软件商需要提供便利的安全更新服务,及时更新系统的漏洞补丁,这样才可以最大程度地保障使用过程中的隐私安全性。
他同时表示,APP 与硬件商在升级时所面临的成本也不同,APP 通过升级即可修复漏洞,而硬件升级的成本则要高出许多,当前许多居民和宾馆内的设备已呈现老旧状态,无法升级,只能换掉设备,这对于使用者和厂商来说,成本都相对高昂,这使得当前的软硬件在面对现下的漏洞威胁时显得迟滞。
12 月 20 日下午,记者来到北京市中关村电子城调查发现,市面上存在着多种品牌的摄像头电子产品,其价格从几十元到上百元不等,其中海康威视摄像头的上货及销量占比最高。
一位导购人员告诉记者,这些产品只需要下载相应的软件就可以在手机上实时观看。并称摄像头非常安全,想要观看需要账号密码,没有被安装者授权的人是看不到的。海康威视方面向记者表示,其产品会有专门的视频专网进行存储,与互联网处于隔离状态,而旗下的消费电子类摄像头则有专门的视频云提供存储和安全保护,不会发生被破解等情况。
来源:ZAKER 作者:中国经营报
1. 遵循行业规范,任何转载的稿件都会明确标注作者和来源;2. 的原创文章,请转载时务必注明文章作者和"来源: ",不尊重原创的行为 或将追究责任;3.作者投稿可能会经 编辑修改或补充。