Aussergewöhnlicher Hacking-Fall – Hacker zapfen 150'000 Kameras an – Tesla, Spital und Gefängnis betroffen Sie hätten sich Zugriff auf das ganze Videoarchiv aller Kunden verschafft, sagen die Hacker. Betroffen ist Verkada, ein Anbieter von Sicherheitskameras mit Grosskunden weltweit.

Blick ins Gefängnis Madison County Jail, aufgenommen von einer Verkada-Kamera. Bild: Tillie Kottmann (Social Media)

Hacker haben nach einem Medienbericht 150'000 Überwachungskameras einer US-Firma unter anderem in Spitälern, Gefängnissen, Schulen und Polizeirevieren angezapft. Betroffen waren auch Unternehmen wie der Elektroauto-Hersteller Tesla und die IT-Sicherheitsfirma Cloudflare, wie der Finanzdienst Bloomberg in der Nacht zum Mittwoch berichtete.

So hätten die Hacker Aufnahmen vom Tesla-Standort Shanghai vorgeführt, aber auch die US-amerikanische Luxus-Fitness-Kette Equinox. Das kalifornische Start-up Verkada, von dem die Kameras stammen, teilte Bloomberg in einer ersten Reaktion mit, man untersuche das Ausmass des potenziellen Problems.

Es passiert zwar immer wieder, dass Bilder von günstigen Sicherheitskameras für den Haushalt abgegriffen werden – vor allem wenn die Nutzer nicht die voreingestellten Standard-Passwörter der Geräte ersetzen. Dass eine Firma mit grossen Kunden gehackt wurde, die speziell mit mehr Sicherheit durch Gesichtserkennung warb, ist dagegen aussergewöhnlich.

Zugang zum vollen Videoarchiv aller Verkada-Kunden

Die Hacker demonstrierten Bloomberg dem Bericht nach Aufnahmen aus einem Polizeirevier im US-Bundesstaat Massachusetts, einem Gefängnis in Alabama und einem Spital in Florida. In dem Gefängnis sei es ihnen gelungen, 330 Kameras anzuzapfen. Bei Tesla seien es 222 Kameras gewesen.

Sie hätten sich auch Zugang zum Videoarchiv der Verkada-Kunden verschafft. Dass gespeicherte interne Aufnahmen nicht ausschliesslich für das Unternehmen oder die Einrichtung selbst zugänglich sind, ist eher ungewöhnlich.

Die Hacker fanden nach eigenen Angaben Zugangsdaten für einen Administrator-Account mit weitreichendem Zugriff öffentlich erreichbar im Internet. Als «Super-Administrator» habe man eine Vielzahl von Kameras anzapfen können. Die Hacker hätten den Zugang verloren, nachdem Bloomberg eine Anfrage beim Unternehmen zu dem Thema gestellt hatte.

Hacker wollen zeigen, «wie überwacht wir sind»

Beteiligt am internationalen Hacker-Kollektiv, das sich «Advanced Persistent Threat 69420» nennt, ist auch ein Schweizer IT-Spezialist namens Tillie Kottmann. Ihm zufolge wollte die Gruppe mit der Aktion zeigen, wie verbreitet die Videoüberwachung heutzutage ist und wie leicht es sei, in die Systeme einzubrechen.

Laut Kottmann hatten manche Verkada-Angestellte auch Zugriff auf die Video-Dateien ihrer Kunden, wie er über seinen mittlerweile gesperrten Twitter-Account mitteilte. «Watson» zitiert den gelöschten Tweet dazu: «Verschiedene Mitarbeiter innerhalb des Unternehmens hatten Konten, die sie für den persönlichen Gebrauch nutzten und die auch so privilegiert waren, dass sie dies mit jeder Kamera eines beliebigen Kunden tun konnten.»

Laut Bloomberg sagte Kottmann, Gründe für ihre Hacking-Aktionen seien «Neugier, Kampf für Informationsfreiheit und gegen geistiges Eigentum, eine sehr grosse Dosis Antikapitalismus, ein Hauch von Anarchismus» – und auch, dass es einfach zu viel Spass mache, es nicht zu tun.

SDA/oli