A pornografia infantil está sendo vendida online a partir de câmeras hackeadas da Hikvision, com vendedores criminosos usando o aplicativo Hik-Connect atual da Hikvision para distribuir a pornografia.
Nossa investigação encontrou ofertas de vendas generalizadas para vídeos de nudez, incluindo “cp” (pornografia infantil), “quarto infantil”, “quarto familiar”, “quarto de menina”, “consultório ginecológico” e muitos outros.
Preocupações Graves
Este é o primeiro caso que encontramos de câmeras de vigilância por vídeo sendo exploradas sistematicamente em uma empresa comercial pornográfica criminosa, levantando sérias preocupações sobre o que fazer com o grande número de câmeras Hikvision e outras câmeras vulneráveis na Internet.
O uso do aplicativo Hik-Connect atual da Hikvision para distribuir aumenta ainda mais a preocupação porque esse aplicativo é controlado em nuvem pela própria Hikvision.
em e aplicativo IPVM testados.
Os dois exemplos mais próximos que conhecemos são o técnico ADT de 2021 que abusou do acesso aos sistemas de vigilância doméstica dos clientes para “gratificação sexual” e um britânico preso em 2021 por vender fotos de crianças nuas de ~ 70 câmeras IP hackeadas não especificadas. As credenciais hackeadas da Hikvision foram encontradas à venda em fóruns russos da dark web em um relatório de empresa de segurança cibernética de 2022, embora a pornografia não tenha sido mencionada.
Resposta Hikvision
A Hikvision disse ao IPVM que “a Hikvision não sabe nada sobre esses crimes em potencial” até que os contatamos e que “se qualquer parte do relatório do IPVM for verdadeira, a Hikvision ajudará entusiasticamente as autoridades a levar esses predadores infantis à justiça”.
O vice-presidente corporativo de relações públicas da Hikvision, Jeffrey He, disse aos parceiros da Hikvision que esta era uma “história profundamente perturbadora”, enfatizando que era “nossa mais sincera esperança de que o IPVM.com tenha caído em uma solicitação falsa e que nenhuma de suas alegações seja verdadeira” enquanto admitindo que “a Hikvision não tentou, nem tentará verificar as informações limitadas que o IPVM.com nos forneceu.”
A Hikvision se recusou a comentar sobre a suficiência de seus esforços para consertar o grande número de dispositivos ainda vulneráveis. A Hikvision publicou várias correções, mas, como isso mostra, não fez o suficiente para divulgar ou contatar os usuários afetados para interromper esses tipos de ataques.
FBI contatado
O IPVM prontamente contatou o FBI dos EUA assim que reconhecemos o envolvimento de pornografia infantil (esse relatório é resultado de uma investigação que fizemos para o Hacker Targeting 500.000 Hikvision Cameras ). O IPVM também conectou Chuck Davis e Jeffrey He da Hikvision com o FBI, compartilhando mais informações para ajudar o Bureau.
A Hikvision disse aos parceiros que “contatou imediatamente várias agências de aplicação da lei, incluindo, entre outros, a Seção de Obscenidade e Exploração Infantil do Departamento de Justiça dos EUA; o Federal Bureau of Investigation; e o Centro Nacional para Crianças Desaparecidas e Exploradas”.
Uso do Telegram
Este conteúdo está sendo vendido e compartilhado, abertamente, em pelo menos sete canais públicos do Telegram. O Telegram disse ao IPVM que seus moderadores estão investigando esses canais e diz que “moderou ativamente conteúdo prejudicial”, incluindo “abuso infantil” desde a sua criação.
O Telegram foi criticado por moderação de conteúdo frouxa, informou o Vox . O governo dos EUA encontrou “uma rede internacional de pessoas explorando sexualmente crianças” no Telegram, resultando em “pelo menos 17 pessoas” sendo acusadas, informou o Chicago Sun-Times em fevereiro de 2023 (o próprio Telegram não foi cobrado e isso não estava relacionado à videovigilância).
O Telegram, com sede em Dubai, Emirados Árabes Unidos, é conhecido por suas proclamações pró-privacidade, afirmando em seu site que “podemos garantir que nenhum governo ou bloco de países com ideias semelhantes possa invadir a privacidade e a liberdade de expressão das pessoas”.
Ofertas via canais de telegrama examinadas
O principal método que vimos os vendedores oferecerem para compartilhar essas câmeras hackeadas é por meio do código QR por meio do Gerar código QR com informações do dispositivo do Hik-Connect . O Hik-Connect permite adicionar compartilhamento de dispositivos e streaming sem problemas, de acordo com o teste Hik-Connect 2023 da IPVM. O aplicativo Hik-Connect atual se conecta a câmeras de firmware mais antigas, como as que estão sendo exploradas nesses casos.
Sete canais do Telegram, com centenas a mais de 7.000 assinantes cada, postam instantâneos de centenas de câmeras Hikvision hackeadas para atrair as pessoas a comprá-las. (Os canais públicos também publicam links para vários canais privados, mas o IPVM não conseguiu verificar o seu conteúdo.)
Numerosas ofertas são feitas nesses canais para ver crianças e adultos nus, com um canal oferecendo ‘câmeras’ hackeadas por US$ 3 a US$ 6 cada (com cada ‘câmera’ incluindo vários canais), incluindo:
- “casa da família, às vezes vem uma filha pequena , arquivo 70 dias, detecção [de movimento]”
- “família, quarto de jovem , [ato sexual descrito – redigido pelo IPVM] todos os dias, arquivo 18 dias”
- “casa grande, família jovem , mãe linda, guarda-roupa , arquivo de 9 de novembro”
- ” família grande , câmeras pela casa, quartos dos pais, irmãos e irmãs , detecção, arquivo 4 dias”
- ” quarto de duas irmãs , arquivo de 20 dias, detecção”
- “2 câmeras no quarto de uma garota asiática , som, detecção, arquivo 2 dias”
- “secção feminina, consultório ginecológico , arquivo 23 dias”
- ” guarda-roupa em casa grande, arquivo 10 meses, detecção [de movimento]”
- ” mãe solteira amamentando , detecção [de movimento], arquivo 1 mês”
- ” procedimentos cosméticos , às vezes depilação [depilação] e massagem, arquivo 28 dias”
- “salão de beleza , procedimentos diversos, arquivo 1 mês”
- ” vestiário masculino na academia, detecção [de movimento], arquivo 2 semanas”
- ” balneário feminino no fitness center, som, arquivo 17 dias”
- ” Cabines VIP em um clube de strip (8 peças), algumas com sensor de movimento, arquivo por 5 meses [ênfase adicionada]
Embora normalmente forneçamos citações e exemplos para que os leitores possam verificar, dadas as questões criminais envolvendo crianças, não estamos compartilhando os nomes dos canais envolvidos nem quaisquer imagens de vídeo vigilância das câmeras que estão sendo vendidas.
As solicitações de vendas, que incluem ofertas dos últimos 2 anos ou mais, oferecem vídeos “CP” (ou seja, pornografia infantil), por exemplo, abaixo de um canal oferece 1.000 vídeos “cp” por 30 USD:
Outro exemplo de um canal diferente do Telegram no início deste ano oferece feeds de vídeo hackeados de “casa” e “sala das crianças”:
Outro exemplo deste ano apresenta uma “casa” com “quarto de meninos” e “quarto de meninas”:
Esses canais do Telegram já fazem isso há bastante tempo (1 a 2 anos), por exemplo, um dos canais maiores foi criado em junho de 2021.
Localização Geográfica de Câmeras Invadidas
Os feeds de vídeo hackeados são de muitos países diferentes, refletindo o fato de que as câmeras Hikvision são usadas em todo o mundo.
Vários países são mencionados/representados, como Rússia, Israel, Ucrânia e Vietnã, nos canais do Telegram que compartilham esse conteúdo. No entanto, a maioria das ofertas não especifica onde a câmera está localizada. Os canais do Telegram usam vários idiomas, incluindo inglês, espanhol, russo, árabe, francês e vietnamita.
A IPVM entrou em contato com o FBI dos EUA porque somos uma corporação dos EUA. Esperamos que o FBI dos EUA faça a ligação com agências semelhantes em outros países.
Aplicativo Hikvision Hik-Connect para distribuição
Esses vendedores criminosos oferecem ajuda e suporte usando o Hik-Connect , o aplicativo móvel/em nuvem da Hikvision para distribuir esses vídeos. Por exemplo, neste canal do Telegram, os administradores se oferecem para “resolver dúvidas, suporte ou aconselhamento com o aplicativo Hik-Connect” (“resolver dudas, ayuda oa sesoria con app Hik connect”):
Outro exemplo em um canal diferente mostra administradores fazendo referência ao Hik-Connect com um código QR:
O mesmo canal também compartilhou links para download do Hik-Connect:
Os administradores em outro canal do Telegram também compartilharam links para baixar o aplicativo Hik-Connect:
Compartilhamento de vídeos via Hik-Connect
Grupos de Telegram que vendem pornografia infantil mencionam repetidamente o Hik-Connect. No entanto, não encontramos evidências de uma vulnerabilidade direta do Hik-Connect sendo usada para acessar câmeras.
Em vez disso, nossa melhor avaliação atual é que os hackers estão adicionando câmeras hackeadas ao aplicativo Hik-Connect, que acessará a câmera diretamente e, em seguida, usando o Gerar código QR com informações do dispositivo do Hik-Connect para compartilhar/vendê-los em vários grupos do Telegram:
Por exemplo, encontramos uma câmera sendo compartilhada por meio do aplicativo HikConnect usando DDNS que apontava para uma câmera na Ásia que Shodan lista como sendo uma câmera Hikvision.
Nossa teoria é que o vendedor obteve acesso administrativo à câmera e, em seguida, adicionou um usuário não administrador que só tem permissão para visualizar o vídeo, usando DDNS na tentativa de ocultar seu endereço IP. Isso permitiria que o vendedor mantivesse o acesso de administrador, mas compartilhasse esse acesso com um código QR. Como o aplicativo Hik-Connect não usa a nuvem para gerar o código QR, isso torna mais difícil rastrear efetivamente o compartilhamento do código QR. O próprio aplicativo Hik-Connect é controlado pela nuvem.
Hik-Connect não força atualizações de firmware na nuvem
Embora muitos provedores de vigilância por vídeo na nuvem forcem atualizações de firmware nos dispositivos, a Hikvision geralmente não o faz. Por exemplo, concorrentes como Avigilon Alta, Meraki, Verkada, etc. atualizam automaticamente os dispositivos que corrigem prontamente as vulnerabilidades quando corrigidas. Por outro lado, o Hik-Connect da Hikvision permite fazer isso, mas não automaticamente, permitindo que os dispositivos Hikvision se conectem por meio de sua nuvem, mas estejam significativamente desatualizados (e vulneráveis).
A desvantagem das atualizações automáticas de firmware é que elas podem interromper as integrações com aplicativos de terceiros, que são muito mais usados com câmeras Hikvision do que com provedores de nuvem de ponta a ponta, como Verkada.
Vulnerabilidades sendo exploradas?
Como existem várias vulnerabilidades do Hikvision ao longo dos anos, é difícil para nós verificar quais delas específicas estão sendo exploradas nesses casos.
Mensagens do Telegram examinadas pelo IPVM mostram um hacker alegando que trabalha com uma “exploração” que pode “extrair a senha sem adivinhar”. No entanto, o mesmo hacker também se gabou em outras mensagens de possuir um ‘dicionário’ com 1.500 senhas comuns do Hikvision (embora dicionários de senhas comuns sejam amplamente difundidos, Hikvision ou outros).
Com base nas evidências disponíveis, não acreditamos que esses criminosos estejam hackeando ou explorando uma vulnerabilidade no Hik-Connect (relacionado, Hik-Connect 5 App / Cloud Cybersecurity testado ). Em vez disso, o compartilhamento de código QR indica que eles estão usando uma funcionalidade padrão Hik-Connect, embora com câmeras Hikvision que foram invadidas por outros meios.
A maneira mais simples de conseguir isso é explorar “senhas fracas e portas abertas”, nas palavras de Faxociety, o hacker por trás do recente hack de ~500.000 câmeras Hikvision , embora seja possível que o backdoor de 2017 ou a vulnerabilidade crítica de 2021 também estejam sendo usados .
CP é o “problema principal” por trás do aviso
O IPVM descobriu esse problema quando entramos em contato com um indivíduo, a Faxociety, que ganhou atenção por hackear cerca de 500.000 câmeras Hikvision expostas, alertando os usuários “seu CCTV é vulnerável” .
A Faxociety respondeu ao IPVM que sua principal motivação para esse hack era impedir a venda de pornografia infantil (ou seja, CP):
CP é a principal questão que me motivou a fazer isso com CCTVs
Vi pessoas em alguns fóruns que assistem e compartilham/vendem esse conteúdo ou acessam para outras pessoas e também existem muitos vendedores desse tipo de conteúdo no Telegram.
grande negócio de códigos QR, um deles me ofereceu $ 1.000 por mês para me impedir de fazer o que estou fazendo. [enfase adicionada]
A Faxociety afirma que cerca de 50 vendedores estavam “chorando” para eles “que estou arruinando seus negócios”, com um deles ameaçando “Seja cauteloso, já estamos de olho em você. Seu endereço, sua família”, por uma mensagem de texto.
A Hikvision não entrou em contato com a Faxociety, de acordo com a Faxociety.
Resposta Hikvision
Em 7 de julho, a Hikvision respondeu ao pedido de comentário do IPVM em 4 de julho com a seguinte resposta literal:
É terrível e irresponsável que qualquer organização opte por promover seus próprios objetivos acima de proteger as crianças. A Hikvision não sabe nada sobre esses crimes em potencial. O e-mail do IPVM foi a primeira vez que a empresa ouviu falar de algo assim. A decisão egoísta do IPVM de buscar comentários nossos antes de alertar as autoridades é altamente questionável e, neste caso, vergonhosa. Mas se qualquer parte do relatório do IPVM for verdadeira, a Hikvision ajudará entusiasticamente a aplicação da lei a levar esses predadores de crianças à justiça. Esperamos apenas que a falta de ação do IPVM não tenha dado aos criminosos uma vantagem para fugir da justiça. Tentar associar a Hikvision com pornografia infantil é apenas a tática mais recente – mas mais desesperada – do IPVM para tentar prejudicar nossos negócios.
O IPVM respondeu à Hikvision que alertamos prontamente o FBI pouco antes de enviarmos um e-mail à Hikvision em 4 de julho, e o FBI prontamente agiu. O e-mail do IPVM de 4 de julho para a Hikvision disse que “iremos relatar … o FBI antes da publicação”, mas não deixou claro que já o havíamos feito no dia anterior. Uma captura de tela do nosso e-mail inicial de 3 de junho para o FBI está copiada abaixo:
O FBI respondeu ao IPVM dentro de uma hora, e continuamos a fornecer informações conforme encontramos ou as autoridades solicitam.
Além disso, a Hikvision publicou uma carta aos parceiros , em 7 de julho, atribuída ao vice-presidente corporativo de assuntos públicos da Hikvision, Jeffrey He , na qual eles lideram com críticas ao IPVM, incluindo:
as inúmeras perguntas obstinadamente tendenciosas e maliciosas do IPVM.com não mereciam respostas. Hoje, acreditamos que não temos escolha a não ser abrir uma exceção.
O IPVM.com planeja publicar uma história profundamente perturbadora para tentar avançar em seus próprios objetivos em detrimento da proteção de crianças vulneráveis
Como observamos no início deste relatório, a carta da Hikvision disse que contatou várias autoridades dos EUA, mas não abordou as preocupações sobre a segurança cibernética da Hikvision e os dispositivos ainda vulneráveis.
Resposta IPVM para Hikvision
O fundador da IPVM, John Honovich, respondeu à Hikvision, dizendo:
A falta de ação foi claramente do lado da Hikvision. Estas são as vulnerabilidades da Hikvision das quais a Hikvision tem lucrado muito. Além disso, a Hikvision tem 1.000 vezes mais funcionários do que o IPVM e poderia facilmente saber disso se a Hikvision tentasse.
Incentivamos a Hikvision a se esforçar mais para retificar e resolver o grande número de usuários da Hikvision afetados pelas ações da Hikvision (ou falta, portanto).
A posição de longa data da Hikvision é que eles emitiram correções para suas várias vulnerabilidades significativas na última década (incluindo senhas padrão, habilitação automática de UPnP, backdoor de 2017 , vulnerabilidade crítica de 2021 etc.) e que cabe ao cliente decidir atualizar seu firmware regularmente.
O fato de tantas câmeras Hikvision continuarem sendo hackeadas e até mesmo usadas para pornografia infantil mostra que a Hikvision não chegou perto o suficiente para resolver suficientemente os problemas que criaram ao lançar produtos com defeitos cibernéticos por anos.
Além disso, o uso do aplicativo Hik-Connect atual da Hikvision para distribuir essa exploração levanta preocupações ainda mais graves sobre o que a Hikvision fará para impedir isso.
FONTE: IPVM