Verkada
美国联邦交易委员会(Federal Trade Commission,FTC)上周要求美国监控公司Verkada支付295万美元的罚款,以及必须制定与实施全面的资讯安全计划,有不少媒体以为Verkada之所以受罚是因为Verkada在2021年被骇,曝露了15万台的监视器画面,不过,FTC处罚Verkada的原因是该公司乱发垃圾邮件。
Verkada为一云端监控公司,骇客则是在2021年3月入侵Verkada平台,存取了97家Verkada客户位于全球的15万台监视器的画面,包括特斯拉(Tesla)仓库及工厂的222个监视器,以及阿拉巴马州监狱的330个监视器。
随后Verkada解释,曝露于网路上的客户支援伺服器有一个配置错误,骇客借由该错误进入伺服器后发现了客户支援的管理凭证,再用它来登入客户支援介面,即可利用内部支援功能来存取客户的监视装置。Verkada强调,该公司有6,000家客户,受到危害的比例不到2%,此外,在得知监控画面曝光的两个小时内,Verkada就切断了骇客的存取权限。
FTC上周表示,将要求Verkada制定与实施全面的资讯安全计划,以解决该公司未能采取适当资讯安全实践的指控,此外,也将要求Verkada支付290万美元的罚款。不过,受罚原因是Verkada以大量电子邮件淹没潜在客户,而且没有提供取消订阅或退出的选项,也未能于电子邮件中提供实际的邮寄地址,违反美国的CAN-SPAM Act垃圾邮件法案。
Verkada也发表了声明,指出该公司并不同意FTC的指控,但接受FTC所提出的和解条款。
有趣的是,即使不管是FTC的新闻稿或Verkada的声明,都说Verkada并非因安全意外而受罚,但不少媒体都以为Verkada的受罚是因为安全措施不足,例如BleepingComputer或BankInfoSecurity。
此外,295万美元也是FTC迄今就CAN-SPAM Act违规行为所开发的最高罚单。