全球逾 4 萬監控攝影機「裸奔」上網!不想被看光第一件事該做什麼?
監控攝影機可能成為暴露現代人隱私的最大威脅。資安研究機構 Bitsight 團隊最新調查發現,全球有超過 40,000 台監控攝影機處於完全開放狀態,任何人只需要一個網頁瀏覽器和正確的 IP 位址,就能即時觀看這些攝影機的畫面。
這些設備曝光範圍驚人,從家庭安全攝影機、嬰兒監視器,到辦公室監控系統、醫療機構設備,甚至是工廠內部的製造流程監控,都可能成為陌生人窺探的目標。
美國被曝光攝影機居全球之冠,約 14,000 台;其次為日本、奧地利、捷克和南韓,反映了物聯網設備在部署和管理上的系統性失敗。更令人憂心的是,Bitsight 團隊早在 2023 年就曾對此問題發出警告,然而根據最新研究顯示,情況不僅沒有改善,反而持續惡化。
居家物聯網裝置成最大資安漏洞
這起資安事件最令人震驚的特點在於,它並非需要艱深的駭客技術,而是任何具備基本網路知識的人都可以做到。Bitsight 安全研究科學家 João Cruz 指出,沒有密碼保護,沒有任何防護措施,這些攝影機就這樣暴露在網路上。要存取這些攝影機畫面,既不需要菁英級的駭客技能,也不需要昂貴的軟體工具,僅需一般的網頁瀏覽器和有效的 IP 位址即可。
這種易取得性使得問題更加嚴重,研究團隊甚至在暗網上發現被曝光的影像。在暗網上,有人不僅跟大家分享如何找到這些攝影機,甚至還販售即時畫面的存取權限。暴露的畫面內容從看似無害的鳥類餵食器監控,延伸到極度敏感的場景,包括住宅大門口、客廳內部、辦公室白板上的機密資訊、工廠製造機密,甚至是資料中心的營運狀況。
Bitsight 研究團隊透過掃描網路上使用 HTTP(網頁)和 RTSP(串流)協定的攝影機,系統性地找出了那些沒有密碼保護、任何人都能直接存取的監控設備。而「全球有超過 40,000 台監控攝影機處於完全開放狀態」這個數字可能只是冰山一角,當居家物聯網設備高度普及化,任何人都能購買、插電後立即開始串流,這種便利性正是造成資安漏洞持續存在的根本原因。
安全責任需要業者與用戶共同承擔
深度分析這些攝影機的共通問題,可以發現幾個關鍵的安全漏洞。首先是使用者基本設定錯誤,包括未更改預設的使用者名稱和密碼、開放的網路存取渠道,以及過時未更新的韌體。許多攝影機製造商為了簡化安裝流程,往往採用弱化或公開已知的預設憑證,而使用者往往忽略或根本不知道要更改這些被廠商預設好的設定。
且大部分使用者都認為這些監控設備僅供內部網路使用,未意識到在不當設定下,這些設備實際上已暴露於公共網路環境中。開放的 HTTP 和 RTSP 使得攝影機畫面可以直接透過網際網路存取,而缺乏適當的防火牆保護或 VPN 限制,更加劇了這種風險。
此外,遠端存取功能的不當啟用也是常見問題,許多使用者在不需要遠端監控功能的情況下,仍然沒有關閉這些功能,無形中增加了被攻擊風險。
可能進一步成為攻擊企業內部系統的跳板
面對如此廣泛的資安漏洞,解決方案需要製造商、使用者和企業組織的共同努力。
製造商方面應該承擔更多的資安責任,包括強制使用者在初次設定時更改預設密碼、實施自動安全更新機制、提供更清楚的安全設定指示,以及規範使用者設定更高的安全門檻。也就是在產品設計階段就應該將「安全優先」納入考量,而非將安全性視為可選的附加功能。
對於一般使用者而言,基本的防護措施不可或缺。第一件事就要更改所有預設的使用者名稱和密碼,設定強且獨特的登入憑證,定期檢查並安裝韌體更新,以及仔細檢視遠端存取設定。如果不需要遠端監控功能,應該完全停用相關服務。使用者也應該定期從外部網路測試攝影機的可存取性,確保未經授權的外部存取被適當阻擋。
企業用戶的責任更加重大,需要將監控攝影機納入整體資安策略的一環。這意味著實施嚴格的防火牆規則,要求透過 VPN 進行遠端存取,建立異常登入的警示系統,以及定期進行安全掃描以識別潛在的暴露風險。企業還應該建立明確的攝影機管理政策,包括定期的安全評估、權限管理。監控攝影機一旦被駭客控制,不僅可能洩露敏感資訊,更可能成為進一步攻擊企業內部系統的跳板。
消費者所有使用流程都需建構資安防護
最後,對於 IoT 設備開發者和業主來說,所有涉及影像輸入、即時串流或敏感資料處理的裝置,都應該被視為「高敏感設備」進行管理。這意味著從產品設計、製造、銷售到最終使用的整個生命週期中,安全考量都應該是首要原則。
隨著智慧家庭、工業 4.0 和數位轉型的持續推進,連網設備只會越來越普及。如果我們不能從單純簡單的家庭監控攝影機危機中學到教訓,建立出更完善的安全防護機制和管理制度,類似的問題只會在更大規模的機構上再次發生。
【推薦閱讀】
◆ 網路詐騙集團的「二次收割」術:為什麼被騙過的人,更容易再被騙?
◆ 用 AI 每天分析 1 億行程式碼!OX Security 如何找出企業忽略的資安漏洞?
◆ 【駭客一直都在】勒索攻擊無法杜絕,「跨界合作」是企業生存最佳解
*本文開放合作夥伴轉載,參考資料:《TechRadar》、《Bitsight》,圖片來源:Unsplash
(責任編輯:鄒家彥)