Sự cố xảy ra từ năm 2021 và được Ủy ban Thương mại Liên bang Mỹ (FTC) công bố kết quả điều tra cuối tháng 8/2024. Verkada bị đề xuất mức phạt 2,95 triệu USD vì dính nhiều lỗ hổng bảo mật và quảng cáo sai sự thật về các tính năng an toàn.
Hãng camera Mỹ ra đời năm 2016, đặt mục tiêu trở thành hệ thống vận hành tòa nhà an toàn và hiệu quả nhất thế giới. Sản phẩm của Verkada được 26.000 tổ chức ở 85 quốc gia sử dụng, theo quảng cáo trên website. Nhiều doanh nghiệp và tổ chức, trong đó có những nơi đề cao sự riêng tư như phòng khám sức khỏe phụ nữ, bệnh viện tâm thần, nhà tù, trường học, trong đó có nhà máy sản xuất ôtô Tesla, đang trang bị camera giám sát của hãng này.
Vào tháng 3/2021, nhóm tin tặc APT-69420 Arson Cats khai thác thành công lỗ hổng trong máy chủ hỗ trợ khách hàng của Verkada, nơi cung cấp quyền truy cập cho quản trị viên. Chúng thâm nhập vào 150.000 nguồn cấp dữ liệu camera trực tiếp, từ đó trích xuất nhiều GB cảnh quay video, ảnh chụp màn hình và thông tin chi tiết về khách hàng.
Theo ghi nhận khi đó, tin tặc đã truy cập trong hệ thống nội bộ Verkada nhiều giờ mà không gặp biện pháp ngăn chặn nào. Chúng sau đó chủ động gửi thông tin cho truyền thông và công bố các video làm bằng chứng.
Trước đó, năm 2020, Verkada cũng bị tin tặc cài mã độc Mirai để thực hiện tấn công từ chối dịch vụ DDoS. Hãng cũng không phát hiện cho đến khi hệ thống của Amazon Web Services (AWS) nhận thấy bất thường vào hai tuần sau đó.
Theo FTC, sự việc trên cho thấy những tuyên bố của Verkada về việc sử dụng công cụ tốt nhất để bảo vệ dữ liệu khách hàng là hành vi lừa dối, sai sự thật. Ngoài ra, các sản phẩm bị cho là thiếu biện pháp bảo mật cơ bản, như yêu cầu sử dụng mật khẩu phức tạp, mã hóa dữ liệu khách hàng khi lưu trữ và triển khai các biện pháp kiểm soát mạng an toàn.
Trong khi đó, Verkada tuyên bố không đồng ý với cáo buộc của FTC, nhưng chấp nhận các điều khoản.
Ngoài khoản tiền phạt, công ty sẽ phải triển khai chương trình bảo mật toàn diện, được đánh giá thường xuyên bởi một bên thứ ba độc lập. Trong 20 năm tới, Verkada sẽ phải báo cáo mọi sự cố an ninh mạng cho FTC trong vòng 10 ngày.
M.H
10:00 | 27/05/2024
14:00 | 20/05/2024
09:00 | 06/03/2024
16:00 | 09/10/2024
Mới đây, Microsoft đã phát hành bản vá Patch Tuesday tháng 10/2024 để giải quyết 118 lỗ hổng bảo mật, bao gồm 5 lỗ hổng zero-day, trong đó có 2 lỗ hổng đang bị khai thác tích cực trên thực tế.
07:00 | 16/09/2024
Cơ quan An ninh Mạng và Cơ sở Hạ tầng của Hoa Kỳ (CISA) đã phát đi cảnh báo khẩn cấp về một lỗ hổng bảo mật đang bị khai thác trong hệ thống quản lý tài nguyên doanh nghiệp mã nguồn mở Apache OFBiz. Lỗ hổng có định danh CVE-2024-38856, đã được thêm vào danh sách các lỗ hổng đã bị khai thác của CISA.
15:00 | 30/07/2024
Ngày 30/7, Hiệp hội An ninh mạng quốc gia (NCA) chính thức ra mắt ứng dụng chống lừa đảo nTrust, ứng dụng được cung cấp miễn phí trên Google Play và App Store với dung lượng 60 MB.
09:00 | 30/05/2024
Bộ định tuyến D-Link EXO AX4800 (DIR-X4860) dễ bị tấn công bởi lỗ hổng thực thi lệnh từ xa không yêu cầu xác thực. Điều này có thể dẫn đến việc những kẻ tấn công có quyền truy cập vào cổng HNAP và chiếm đoạt quyền kiểm soát thiết bị.
Gã khổng lồ công nghệ Google rót 1 tỷ USD vào Thái Lan, xây dựng trung tâm dữ liệu và mở rộng dịch vụ đám mây.
10:00 | 10/10/2024