Widzę cię przez twoją kamerkę?...a sprawdziłeś do niej hasło?

[ichito]

Macie włączone kamerki internetowe?...to posłuchajcie

Od kilku dni w internecie sporą popularnością cieszy się serwis insecam.com — jest to katalog kamerek, które w internecie udostępniają swój obraz korzystając z domyślnych zabezpieczeń, tj. domyślnego loginu i hasła. O ile część z nich zapewne celowo jest otwarta na świat, to są perełki takie jak podgląd prywatnych mieszkań i firm oraz dyskotek. Strona kataloguje kamerki z podziałem na kraje — w Polsce dostępnych jest prawie 900 kamerek.

800+ kamerek z Polski

Na wstępie informacja dla osób węszących kolejny fappening — strona insecam.com nie zawiera kamerek wbudowanych w laptopy i telefony komórkowe. Autor po prostu za pomocą Google Hackingu (m.in. tych zapytań) zebrał adresy URL do kamerek i systemów monitoringu i napisał skrypt, który weryfikuje, czy można się do nich dostać za pomocą domyślnego hasła producenta kamerki. Jeśli tak, pojawia się ona w spisie:

[Aby zobaczyć linki, zarejestruj się tutaj]

Niektóre z kamer wprost prezentują dziecięce łóżeczka…

[Aby zobaczyć linki, zarejestruj się tutaj]

Przeglądając stronę insecam.com nie poznacie jednak dokładnego URL-a do danej kamerki — autor strony “proksuje” streaming z kamerki przez swój serwer a internautom pokazuje jedynie przybliżoną lokalizację kamerki (zapewne poprzez geolokalizację jej adresu IP).

Jeśli znaleźliście swoje mieszkanie na tej stronie, nie wpadajcie w panikę. Autor pozwala na usunięcie kamerki (należy wysłać mu do niej linka). Przede wszystkim jednak, zmieńcie do niej hasło.

[Aby zobaczyć linki, zarejestruj się tutaj]

---------------
edit:
obecnie wg danych na stronie jest 686 kamer z Polski - 115 stron z podglądem a adres pierwszej z ich poniżej

[Aby zobaczyć linki, zarejestruj się tutaj]

[Waves]

Kamerki z mojego miasta zniknęły kilka dni po ukazaniu się w sieci informacji o tej stronie

[ichito]

Widać nie tylko w Twoim mieście, bo teraz jest ich mniej niż 700, a wstępna informacja mówiła o ponad 800...ludzie się mitygują, bo to ewidentnie świadczy o ich braku uwagi, wiedzy czy wręcz zwykłym bałaganiarstwie.

[ichito]

Uzupełnienie...raczej zaskakujące Fragment listu do Niebezpiecznika

Może zainteresuje Was temat rejestratorów do kamer monitoringu. Część popularnych na rynku rejestratorów posiada “master password” teoretycznie znane tylko producentowi, generowane w szczególnych przypadkach. (…) Bardzo popularna marka chińskich rejestratorów i kamer marki BCS generuje to hasło, nie na podstawie np. adresu MAC lub numeru seryjnego… a samej daty. Algorytm jest “superzaawansowany”:

8888 x dzień x miesiąc x rok(dwie ostatnie cyfry)

Hasło admina działa wprawdzie tylko lokalnie, przy rejestratorze, ale jest to moim zdaniem “świetny” sposób na wykasowanie nagrań z włamania, bez konieczności wyrąbywania dziury w szafie rackowej.

BCS z racji tego, że jest tani, stosowany jest m.in. przez takie firmy ochroniarskie jak SOLID, Securitas, IMPEL i inne mniejsze. Widziałem [je] nawet montowane na komisariatach Policji i w lokalnych siedzibach banków!

Podobny problem dotyczy produktów HikVision (i pochodnych Internec, HQvision itd.), tylko że tutaj hasło działa nie tylko lokalnie! Rosjanie już opracowali soft do generowania haseł. Co ciekawe, sprawa znana jest od ponad 2 lat, i do tej pory producent nie usunął “backdoora” aktualizacją firmware’u, a kamery HikVision są jednymi z najpopularniejszych kamer na rynku…

Dodatkowo po sieci krąży trojan, który włamuje się na te rejestratory i przerabia je na super nieskuteczne koparki Bitcoina. Tego typu złośliwe oprogramowanie, dzięki hasłom superadmina ma łatwiej. Ciekawe, czy jest możliwa taka podmiana firmware’u w kamerach i rejestratorach, aby zapis zawierał tylko zapętlone ostatnie 10 sekund — jak w filmach.

[Aby zobaczyć linki, zarejestruj się tutaj]