若警察都有搞丟東西的時(shí)候，你還相信絕對(duì)安全是存在的嗎？

俗話說不怕神一樣的對(duì)手，就怕豬一樣的隊(duì)友。當(dāng)警方正孜孜不倦為民眾謀取公正的時(shí)候，合作伙伴一個(gè)馬虎大意把海量破案視頻公之于眾還被傳到了暗網(wǎng)上，真是氣skr人兒~雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

infosec的一份商業(yè)報(bào)告顯示，大量的閑置警用攝像頭視頻內(nèi)容被公開，任何人都可以觀看。

Black Alchemy Solutions Group的首席執(zhí)行官Jasun Tate稱，目前已經(jīng)確認(rèn)泄露了1TB的視頻內(nèi)容，這些視頻原本存儲(chǔ)在邁阿密警察局(Miami Police Department)、美國其他城市以及其他地方警察局未受保護(hù)的互聯(lián)網(wǎng)的數(shù)據(jù)庫中。

據(jù)悉，這些視頻記錄從2018年開始至今。Tate認(rèn)為，這些數(shù)據(jù)分別由五家服務(wù)運(yùn)營商與警察部門合作參與保管。

“我們發(fā)現(xiàn)向警察部門提供服務(wù)的供應(yīng)商存在安全問題，但目前還不能確定哪些供應(yīng)商負(fù)責(zé)將視頻免費(fèi)開放給公眾?！?/p>

來源：theregister

Tate說，他在為客戶做在線情報(bào)工作時(shí)遇到了這些文件。在搜索互聯(lián)網(wǎng)時(shí)，一個(gè)黑網(wǎng)黑客論壇的帖子跳出，并且指出了攝像內(nèi)容在網(wǎng)上的所在之處。打開鏈接后，他發(fā)現(xiàn)這些數(shù)據(jù)被放在兩個(gè)名為MongoDB和mySQL的開放數(shù)據(jù)庫中。

現(xiàn)在，這些數(shù)據(jù)已經(jīng)被黑客掛上了暗網(wǎng)。Tate舉例稱，在我們發(fā)現(xiàn)的暗網(wǎng)交易中，就有關(guān)于2018年警用視頻的售賣記錄，賣家以1便士的價(jià)格出售數(shù)據(jù)，而這一過程供應(yīng)商幾乎全然不知。

根據(jù)Tate的說法，邁阿密警察局已經(jīng)內(nèi)部通知了調(diào)查結(jié)果，但邁阿密PD發(fā)言人稱在調(diào)查完成前不會(huì)對(duì)外發(fā)布任何評(píng)論。

周六，Tate通過Twitter 發(fā)布了他的調(diào)查結(jié)果。Tate稱，之后的嘗試中發(fā)現(xiàn)數(shù)據(jù)庫鏈接顯示打開錯(cuò)誤，這表明系統(tǒng)管理員已采取措施從公共數(shù)據(jù)庫中刪除了這部分文件。

供應(yīng)商的坑，這次是第二回。

來源：theregister

5月23日，外媒報(bào)道車牌識(shí)別器制造商Perceptics被黑客入侵，大量文件、視頻、圖像被盜取并掛上了暗網(wǎng)。

據(jù)悉，Perceptics公司的監(jiān)控產(chǎn)品被安裝在加拿大以及墨西哥最關(guān)鍵的車道上作為路況追蹤使用。該廠商也是為所有過境車道提供固定式LPR [車牌閱讀器]監(jiān)控?cái)z像頭的唯一廠商，其覆蓋面積之大由此可見。

據(jù)悉，這些文件名和附帶的目錄(大約有65000個(gè))符合監(jiān)視技術(shù)行業(yè)的需求重點(diǎn)。文件包括.xlsx文件(以位置和郵政編碼命名)、.jpg文件(以“driver”和“scene”命名)、.docx文件(與ICE等假定的政府客戶端關(guān)聯(lián))、日期和時(shí)間戳為.jpg和.mp4的文件。

還有許多其他類型的文件:.htm、.html、.txt、.doc、.asp、.tdb、.mdb、.json、.rtf、.xls和.tif等等，而許多圖像文件都與違規(guī)車牌相關(guān)。

這些文件還包括.mp3文件，可能來自某人的臺(tái)式機(jī)或筆記本電腦。這些歌曲包括:史蒂夫·旺德(Stevie Wonder)的《迷信》(Superstition)、辣妹組合(Spice Girls)的《想成為》(Wannabe)，以及AC/DC和凱特·史蒂文斯(Cat Stevens)的各種歌曲。

來源：Perceptics數(shù)據(jù)庫

盡管Perceptics宣布與Unisys Federal Systems達(dá)成協(xié)議，已簽署“美國海關(guān)和邊境保護(hù)局的一項(xiàng)重要合同以取代現(xiàn)有的LPR技術(shù)，并準(zhǔn)備在43個(gè)美國邊境安裝Perceptics下一代車牌閱讀器（LPR），但還是遲了一步。

統(tǒng)計(jì)顯示，此次黑客入侵事件導(dǎo)致數(shù)百GB高級(jí)數(shù)據(jù)被盜。這其中包括Microsoft Exchange和Access數(shù)據(jù)庫、ERP數(shù)據(jù)庫、HR記錄、Microsoft SQL Server數(shù)據(jù)存儲(chǔ)等。這些信息包括商業(yè)計(jì)劃，財(cái)務(wù)數(shù)據(jù)和個(gè)人信息，被上傳到暗網(wǎng)上的多個(gè).rar文件進(jìn)行售賣。

兩件事都暴露了大量的警用敏感數(shù)據(jù)，最新消息證明前者公開的數(shù)據(jù)有可能與之前的一次黑客盜竊案件相關(guān)。

相比之下，似乎Perceptics事件更為更嚴(yán)重，因?yàn)槠浯蟛糠謨?nèi)部數(shù)據(jù)被盜并已經(jīng)在網(wǎng)上發(fā)布。但是，此次事件中受到裝載視頻內(nèi)容的服務(wù)器并非一臺(tái)，而是近乎各地都有儲(chǔ)備。

目前，邁阿密警方正聯(lián)合研究人員調(diào)查上次的監(jiān)控?cái)z像頭內(nèi)容被盜是否也與之相類似。

如果情況的確如猜測所言，那么很可能這些數(shù)據(jù)只不過是黑客將上次的盜取數(shù)據(jù)的一部分拿出來繼續(xù)售賣罷了，而另一邊則是供應(yīng)廠不同服務(wù)器上的同樣一批文件被公開。

參考來源：theregister；theregister

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。