图/IC
唐楠的卫生间有隐藏摄像头?
虽然是个乌龙游戏——一年前警方为破案安装的,但摄像头泄露隐私留下的“阴影”往往一经提及就迅速发酵。
年前“用非法手段破解摄像头,上传视频监控图像到哔哩哔哩”被曝光,视频网站从办公室到教室的“直播”暴露了公共摄像头的安全问题。在爆料的网友口中,“这个黑产可能已经成型了,发视频的目的应该是拉人进付费群。”
近日,新京报贝壳财经记者调查发现,不少原本为安防监控设置的摄像头被破解,在黑市上以100至260元不等的价格出售。镜头里,人在动,正对着服装网店的仓库和直播间。画面中不仅可以看到带货主播对着手机直播讲解,还可以看到试衣模特在换衣服。
在记者调查中,卖家往往用多个相机ID捆绑销售,每个ID包含几个相机镜头,地点涉及宿舍、美容院、服装店等。
贝壳财经记者登录其中一个摄像头账号,可以清晰看到服装店收银台、前后门、货架的监控场景。另外,通过店铺货架的摄像头,一排排整齐的衣服,挑选衣服的顾客和工作人员等等都尽收眼底。
值得一提的是,这种黑灰产还打着“直播”的幌子在卖摄像头图像。一些卖家告诉记者,观看公共摄像头“很无聊”,“有许多性感的酒店摄像头”。
事实上,近年来,国家相关部门一直在加大打击偷拍和非法销售相关设备的力度。2021年5月至8月,中央网信办会同工信部、公安部、市场监管总局在全国范围内开展了摄像头偷窥黑产集中治理行动。公安机关抓获犯罪嫌疑人59名,缴获窃听窃照器材1500余套。
黑产卖相机的信息。
隐私屏,打包卖260元
根据早前爆料网友发布的视频截图,上传到哔哩哔哩的监控视频地点包括学校教室、医院、商场等。
有对抗黑灰产经验的吴明(化名)告诉贝壳财经记者,视频画面显示这些摄像头的位置很明显,应该是普通的监控摄像头。“但摄像头的主人很可能不会把自己的监控内容上传到网络。应该是摄像头的ID和密码被泄露了。”
摄像头安全并不是一个新话题,但每次都以隐私泄露被推到前台。
2021年4月,果壳财经记者在对相机黑灰产的调查中发现,很多已经被“破解”的智能相机的ID地址在“电视台直播”上公开出售,价格从40元到200元不等。泄露的镜头包括公共试衣间、仓库、店面和私人住宅。
近日,贝壳财经记者再次登录相关平台看到,该产业链依然存在。然而,用于破解相机的工具和应用程序已经不再可用。
一位卖相机ID的表示,由于监管部门的打击,之前已经叫停了很多“老站”。观看摄像头监控内容的App也被“更新”了,需要通过技术手段登录。购买相机账号密码的价格在120-260元之间,每个ID往往包含几个相机。
贝壳财经记者随机登录一个ID,看到它有8个摄像头,其中4个运行正常。根据摄像头角度,可以看出这是一组服装店的监控摄像头,店铺内部清晰可见,摄像头甚至还有“控制角度”的选项。
记者注意到,与上传到哔哩哔哩教室和医院的场景相比,这些出售相机的地方甚至包括宿舍、客厅、美容院、服装店等。
“不是没有教室和医院(摄像头),而是没人看。”卖家告诉果壳财经记者,“前台有什么意义?这些镜头正对着床和沙发。看到这些真让人兴奋。”
对此,有专家表示,根据我国《治安管理处罚法》规定,偷窥、偷拍、窃听、散布他人隐私的,处5日以下拘留或者500元以下罚款;情节严重的,处5日以上10日以下拘留,可以并处500元以下罚款。但相对于传播偷窥、窃取“产品”的利润,这样的惩罚力度显然不足,不足以起到威慑作用。因此,需要在相关部门全链条打击的同时,完善相关法律法规,提高违法者的犯罪成本。
“直播”噱头:摄像头对着沙发和床
吴明告诉记者,如果爆料用户推测监控上传到哔哩哔哩是为了“引流”,那么不排除视频上传者先发一些“普通内容”来试探是否能通过试用,最后拉人进群,再次收费提供色情视频内容。
贝壳财经记者在调查中看到,除了破解现有的公共摄像头,黑灰产平台上卖得比较多的视频类型的摄像头主要是视角对着沙发和床的那种。在调查过程中,有卖家告诉记者,看公共摄像头很“无聊”。“现在仍有一些性感的酒店摄像头,它们已经使用了很多年。有没有兴趣?”
此外,卖家还表示有下载的酒店监控视频出售。
贝壳财经记者注意到,摄像头画面之所以能产生地下生意,往往是“直播”这个噱头。
“买了ID后,打开不一定总有内容,但直播很有诱惑力。”也有卖家为此向记者推荐相机图片。
据果壳财经记者调查发现,安装针孔摄像头或能破解他人摄像头ID的人被称为“业主”。因为账号和密码,机主会通过开发代理出售摄像头的观看权。
根据法院公开发布的案件文书,部分安装人员在QQ群里发送视频截图、文字介绍进行“推广”,然后以每个邀请码150元至200元的价格卖给线下代理,代理加价后继续发展下线或直接卖给网友观看。经过层层加价,一个邀请码可以卖到600多元,每台摄像机最多可以生成100个邀请码,供100人同时在线观看,而针孔摄像机的价格只有150元左右。
“业主是新上台的,一站不能保证撑多久,但是24小时有人,这样保证精彩,需要购买联系我。”在黑灰产平台,有代理商发布过这样的“广告”。
“对于这种卖摄像头ID的黑灰产,不存在破解问题,因为机主本身就是安装来卖观看权的摄像头。”吴明告诉记者,“其实公共区域的摄像头由于防火墙的存在,很难破解,画面也比较普通,购买者也不多。相比之下,有更多的黑灰产商和销售商私自安装摄像头,甚至故意购买隐藏摄像头安装在酒店、试衣间等。,然后出售他们的id牟利。”
在中国裁判文书网此前公布的一起制作、复制、出版、贩卖、传播淫秽物品牟利案中,被告人赵某在酒店房间内隐蔽的地方私自安装摄像头,通过网络向黑灰产者出售观看上述淫秽视频的“邀请码”,黑灰产者加价后再通过网络转卖或出售给他人,进行传播牟利。最终,赵因犯制作、贩卖、传播淫秽物品牟利罪,被判处有期徒刑11年。
安装摄像头不改密码留下隐患,弱密码容易被“操纵”
摄像头暴露了隐私问题的严重性,这正促使人们提高警惕。
2021年,北京市第三中级人民法院审结的一起案件中,被告人吴某某控制了全球18万台摄像头。"我在私人住宅里收集或录制裸体者的视频."吴某某的“客户”李某作证称,其注册成为App会员后,分两次缴纳668元成为终身会员。“没时间看,随机有6个场景,可以采集记录,包括民房、公共场所、培训机构等。”
2018年至2019年3月5日,案发,吴某某通过在网上推广上述摄像头实时监控画面,非法获利70余万元。最终,吴某某犯非法控制计算机信息系统罪,判处有期徒刑五年,并处罚金10万元,违法所得予以追缴。
据了解,吴某从网上购买了一款软件,非法获取了某品牌网络摄像头的用户数据库。在这个数据库的基础上,他搭建了一个App,实现了数据导入,吸引用户登录应用,观看网络摄像头的实时监控内容。它的服务器在国外。
“这是正常的‘脱库’操作”。吴明告诉果壳财经记者,“另外还有更笨的办法,就是攻击那些密码设置比较弱的摄像头账号,甚至是那些不改密码的账号。”
杭州安恒信息技术有限公司海特实验室副主任自信地告诉果壳财经记者,目前公共区域摄像头的安全等级不一。由于监控摄像系统大多由管理人员安装在各个公共区域,其安全防护程度也有所不同。有的地方摄像头系统专用于专网,部署有安全防火墙,运维人员有专门的安全培训。这种系统安全程度高,黑客很难破解。
但一些系统也存在权限混乱、密码简单、互联网和监控网络混用等问题,一旦设备漏洞或权限信息泄露,很容易被黑客破解。
事实上,果壳财经记者打开卖家发给记者的相机ID发现,90%以上的账号密码都是没有更改过的原账号名称,如“admin”、“abc”等,密码极其简单。
“为了遏制公共区域摄像头的破解,各种监控系统的管理者需要承担更多的责任。监控网络要专用于专网,要购买合规厂家的监控产品。”信心方面告诉壳牌财经记者,现在监控摄像系统在行业内已经有了完善的安全防护方案,但是因为这种安全防护,监控系统的建设周期会更长,资金投入会更大,而且不是强制性要求,这使得很多监控管理者和建设者不愿意往这个方向投入。
我相信,未来还是要增强用户的安全意识,及时更新系统软件,找专业的安全公司制定安全防护方案。
杭州安恒信息技术公司安全研究院院长吴卓群,之前为一些智能摄像头公司做过安全监控。他发现很多厂商的产品在软件设置上都存在“不强制用户修改初始密码,甚至不设置密码”的问题。
吴卓群表示,虽然生产者的信息安全意识有所提高,但值得担忧的是,之前生产的存在安全漏洞的摄像头已经流入千家万户。
在记者此前的调查中,该摄像机品牌的客服人员对记者购买的账号进行了查询,并告知其相机自购买后一直没有更换,默认连接。客户连接后,密码没有更改。客服人员解释说,上述账号对应的家用摄像头是老产品,需要修改密码。升级到最新版本后,如果不修改密码,每次登录都会被强制提醒用户修改。
近日,记者再次登录视频监控App后发现,在点击进入部分摄像头ID账号时,确实会弹出“基于用户隐私保护,建议更改密码后继续访问视频”的提醒,但该提醒并不会出现在所有登录ID操作中,只是随机跳出。
至于如何防止摄像头被破解,360集团硬件专业委员会执行主席孙浩曾表示,摄像头周边常见的安全漏洞可以分为三类:第一类是命令注入漏洞,可以用来执行系统命令或运行任意程序;第二种是授权,可以访问未授权的设备,或者通过隐藏的门户直接访问相应的设备。第三类是服务器存在访问控制缺陷。比如2018年4月,HK云服务器发现访问控制缺陷,任何人都可以通过该漏洞进行观看视频、回放视频、添加账号分享等操作。
孙浩表示,最大的安全漏洞是弱密码,以前常见于摄像头和路由器,尤其是摄像头上。因为大部分用于公共安全的摄像头都需要集成NVR等设备,所以大部分摄像头都使用默认密码,你可以在网上搜索得到主流设备厂商的默认用户名和密码。如果相机暴露在公共网络中,只需触摸弱密码就可以轻松控制相机,完全不需要任何复杂的操作。
新京报贝壳财经记者罗一丹编辑王金玉校对傅春雨
