特斯拉又出事了！

上週，在美國底特律，一輛白色特斯拉Model Y撞上了一輛白色半掛卡車，特斯拉被卡在卡車下，場面一度十分慘烈。

萬幸的是，特斯拉司機和乘客都沒有生命危險，也已經被送往緊急就醫。

讓特斯拉憂心的可不只是又一起車禍而已。

根據一段由駭客曝光的影片，我們可以看到在上海特斯拉倉庫裝配線上的工人，駭客表示，他們可以訪問特斯拉工廠和222臺攝像機。

特斯拉也不是唯一的受害者。佛羅里達州哈利法克斯健康醫院同樣遭到入侵，可以看到8名醫院工作人員試圖將一名男子綁住固定在床上。

根據這群駭客透露，他們現在能夠訪問醫院、公司、警察局、監獄和學校中的15萬個監視攝像機的實時畫面。

而這些受到入侵的組織的共同點，那就是都是用了矽谷初創公司Verkada供貨的攝像頭。

除了能夠實時監控攝像頭資料，駭客還表示，他們能夠訪問所有Verkada客戶的完整影片檔案。

目前上述被入侵組織都已經採取了相應的措施，特斯拉表示，本次駭客事件的入侵範圍僅涉及河南一處特斯拉供應商生產現場，特斯拉中國區也僅在此供應商工廠使用了少數Verkada品牌攝影頭作為遠端質量管理，其他如上海超級工廠、全國各地門店與交付中心等均與此無關聯，且其他攝像裝置均接入公司內部網路而非網際網路，影片資料採取本地儲存方式，無本次事件提及的安全風險。

目前特斯拉已經停止了這些攝像頭的聯網，並且已經在供應商現場採取措施進行停止攝像頭工作，並進一步提升各環節的安全把控。

使用公開儲存的使用者名稱和密碼就能實現如此大規模的入侵？！

如此大規模的入侵不禁讓人讓人好奇，這次的駭客能力到底有多強。

因為Verkada把密碼儲存在了持續整合工具Jenkins所用外掛的Python腳本里，只需要登上維護用的Web應用，你也可以擁有超級管理員許可權，甚至不需要擁有其他的駭客知識。

然後就很簡單了，想訪問哪個客戶的攝像頭，你只需要用滑鼠輕點一下就行，甚至你還可以在這些攝像頭上自己編寫程式碼。

比如在阿拉巴馬州的麥迪遜縣監獄內，安裝的330臺Verkada攝像機提供了一種“人物分析”的功能，這能“根據不同的屬性，比如性別氣質、服裝顏色，甚至是一個人的臉，進行搜尋和篩選”。

根據彭博社公開的影象，監獄內的攝像頭（其中一些隱藏在通風口，恆溫器和除顫器內），使用面部識別技術來跟蹤囚犯和獄警。駭客說，他們能夠訪問警察和犯罪嫌疑人之間的採訪的實時供稿和存檔影片，在某些情況下包括音訊，所有這些都以4K的高畫質解析度進行。

總部位於舊金山的Cloudflare在一份宣告中說：“下午的時候我們就警覺，監視少數Cloudflare辦公室主要入口和主要通道的Verkada攝像頭系統可能已經遭到破壞。”“這些攝像機位於少數幾個辦公室，這些辦公室已經正式關閉了幾個月。”Cloudflare表示已禁用該攝像頭，並使其與辦公網路斷開連線。

除Cloudflare和特斯拉外，其他遭到入侵的公司並未對此事置評。

目前，彭博社已與Verkada取得聯絡，駭客隨即便失去了訪問影片源和檔案的許可權。

戰績斐然：入侵過英特爾和任天堂的駭客

作案手法清楚之後，大家應該會對這個人產生一定的好奇吧。

目前，這位年僅21歲的涉事駭客Tillie Kottmann已遭到瑞士當局的搜查，其裝置也被沒收，隨後Kottmann的GitLab儲存庫也已被查封。

可能說到這裡，不少人對Kottmann這個人還沒有什麼特別的印象，但要是提到去年英特爾大量秘密檔案和原始碼遭洩露一事，大家應該都會恍然大悟，沒錯，這正是Kottmann的“傑作”。

英特爾被洩露的秘密資訊快取大小為20GB，其中包括技術規範，並且與內部晶片組設計有關，以及Kaby Lake平臺和英特爾管理引擎（ME）等。

相信大家也還記得2020年，任天堂的資料洩漏事件Gigaleak，Kottmann同樣與該事件有著深深的聯絡。

從2020年4月開始，在9chan上公佈了9組資料，包括有關Nintendo Switch和其他內部材料的早期文件。而“Gigaleak”主要是指，7月24日的第二次洩漏，此次洩露的內容大小為3GB。

Verkada內部還存在不少問題

本來文章到這裡就完了，但是好奇的文摘菌去觀望了一下被入侵的公司Verkada，貌似這個瓜還沒有吃完。

Verkada成立於2016年，主營業務是安全攝像頭，安裝上這種攝像頭後，使用者就可以聯網對其進行訪問和管理。

不過，文摘菌發現，Verkada所謂的超級管理員許可權，可以直接忽視使用者選擇的“隱私模式”，也就是說，儘管使用者選擇了“隱私模式”，但超級管理員仍然可以訪問該攝像頭。

不僅如此，公司許多員工的賬戶都擁有檢視任何一個攝像頭的許可權。

即使這樣，2020年1月，該公司籌集到了8000萬美元的風險投資資金，公司的市場估值一下子就竄到了16億美元。投資者中，還有矽谷老牌公司紅杉資本。

Verkada執行長Filip Kaliszan在當時對Vice的一份宣告中表示，該公司已經“終止了煽動此事件的三位員工，他們做出了針對同事的惡劣行為，或在有管理職責的情況下卻不舉報”。

但之後，Verkada對涉事員工的處罰只是讓他們選擇被開除，或是減少期權，這3人均選擇留在公司並減持期權。

Kottmann表示，他們能夠下載數千名Verkada客戶的資產負債表等，但Verkada不會發布財務報表，這是相當值得注意的。

https://www.bloomberg.com/news/articles/2021-03-09/hackers-expose-tesla-jails-in-breach-of-150-000-security-cams?sref=P6Q0mxvj

https://gizmodo.com/feds-eye-swiss-hacker-tied-to-major-security-cam-breach-1846467756

https://www.bloomberg.com/news/articles/2021-03-11/verkada-workers-had-extensive-access-to-private-customer-cameras

https://www.theverge.com/2021/3/12/22328344/tillie-kottmann-hacker-raid-switzerland-verkada-cameras