A Federal Trade Commission (FTC) propõe uma multa de 2,95 milhões de dólares à Verkada, fornecedora de câmeras de segurança, por múltiplas falhas de segurança que permitiram a hackers acessar transmissões ao vivo de 150.000 câmeras conectadas à internet.
Muitas dessas câmeras estavam localizadas em ambientes sensíveis, como clínicas de saúde feminina, hospitais psiquiátricos, prisões e escolas.
A FTC alega que a Verkada não apenas falhou em implementar medidas básicas de segurança para proteger as câmeras de acessos não autorizados, mas também representou erroneamente a segurança dos produtos aos clientes com promessas infundadas e avaliações submetidas por investidores.
Além disso, descobriu-se que a Verkada violou o CAN-SPAM Act ao bombardear potenciais clientes com e-mails promocionais sem oferecer opções de opt-out.
Em março de 2021, foi revelado que um grupo de hackers (APT-69420 Arson Cats) explorou uma vulnerabilidade no servidor de suporte ao cliente da Verkada, que concedia acesso em nível de administrador.
Abusando desses privilégios elevados, os hackers acessaram a plataforma Command da Verkada, o que, segundo a FTC, possibilitou o acesso a 150.000 transmissões ao vivo de câmeras.
A partir daí, os hackers extraíram vários gigabytes de filmagens, capturas de tela e detalhes de clientes.
No resumo original do incidente de 2021, a Verkada nota que, durante a intrusão, os hackers acessaram câmeras e visualizaram dados de imagem de 97 clientes, o que representava menos de dois por cento da base de clientes da empresa na época.
Após muitas horas perambulando pelos sistemas internos da Verkada sem qualquer tentativa de bloqueá-los, os hackers auto-reportaram a violação à mídia e liberaram vídeos gravados como prova do hack.
Antes desse incidente, em dezembro de 2020, um hacker explorou uma falha em um servidor de compilação de firmware legado na rede da Verkada e instalou Mirai nele para iniciar ataques de negação de serviço (DoS).
A fornecedora de câmeras não percebeu o comprometimento até duas semanas depois, quando a Amazon Web Services (AWS) sinalizou atividade suspeita no servidor violado, nota a reclamação.
A FTC diz que, ao afirmar usar "ferramentas e melhores práticas de segurança de dados de melhor classe" para proteger os dados dos clientes, a Verkada é enganosa e não representa a verdade.
Especificamente, a Verkada não implementou medidas básicas de segurança em seus produtos, como exigir o uso de senhas complexas, criptografar dados de clientes em repouso e implementar controles de rede seguros.
Além disso, as afirmações da Verkada sobre seus produtos estarem em conformidade com o Health Insurance Portability and Accountability Act (HIPAA) e também os frameworks EU-U.S.e Swiss-U.S.Privacy Shield são falsas e enganosas de acordo com a FTC.
A Verkada é obrigada a pagar uma multa civil de 2,95 milhões de dólares destinada a atuar como uma garantia de futura conformidade com a lei.
Além disso, a empresa deve desenvolver e implementar um programa abrangente de segurança segundo o qual sua própria equipe de TI e também terceiros independentes realizarão avaliações de segurança regulares, implementarão e testarão salvaguardas, e organizarão treinamento de funcionários sobre segurança de dados.
A Verkada é proibida de deturpar sua privacidade, práticas de segurança ou conformidade com padrões como HIPAA e o Privacy Shield no futuro.
Pelos próximos 20 anos, a Verkada terá que reportar qualquer incidente de cibersegurança à FTC em até 10 dias após notificar outra entidade governamental dos EUA, incluindo os detalhes completos do incidente.
Finalmente, os e-mails comerciais da Verkada devem agora incluir opções de unsubscribe para que os usuários possam facilmente optar por não receber se assim desejarem.
A ordem completa e as demandas da FTC podem ser encontradas no documento da ordem estipulada.
Em um comunicado na sexta-feira, a Verkada diz que, embora não concorde com as alegações da FTC, aceitou os termos do acordo.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...