我不敢再相信酒店了。张亮(化名)告诉新京报记者。
6月11日,张亮和女友在石家庄的一家酒店发现电视品牌标志上有一个小孔。随后,在警方和酒店的见证下,电视机被拆除,一个摄像头突然出现。相机机身还插着16个G的内存卡。警方转移了多个私人视频的内存卡。
张良的遭遇并非个例。新京报记者调查发现,从录制到实现的偷拍视频买卖黑色产业链逐渐浮出水面。一位从事黑人生产的人士表示,8个酒店房间和12个家庭房间的监控只需288元;一家街头摄影网站声称可以以20元的价格购买女性裙底视频。
更可怕的是,一些物联网设备存在隐私泄露的风险。记者发现,11台品牌摄像头可以直接使用guest用户观看视频直播。有专业人士表示,路由器漏洞也可能导致摄像头被控制。记者调查发现,另一个品牌的路由器是开门,密码直接显示。
如何减少隐私泄露?安全人士提醒,便携式设备检测可以在一定程度上保证隐私安全,但并非万无一失。
酒店发现偷拍摄像头,16G内存卡含有大量私人视频
在警方的陪同下,张亮看了看他在酒店摄像头内存卡中发现的内容紧握的拳头和眉毛几乎拧在一起,一刻也没有松开。
今年6月,张亮和女友去石家庄工作,住在飞猪预订的石家庄城市驿站快捷酒店广安街官鲤公寓店。
6月11日上午10点左右,和女友住酒店一晚后,电视上的一个小孔引起了张亮的注意。
发现小孔后,我用手机照进去,发现里面有反光点。这个反射点引起了张亮的警惕。他拨打了海尔的客服电话,得到的回应是这款电视的商标位置没有小孔。
随后张良报警。张亮说,他、酒店负责人和当时赶到的警察见证了电视机打开的时刻,一个扁平的矩形物体突然映入眼帘。
据描述,这款扁平的偷窥摄像头长约78厘米,宽约45厘米,被黑色胶带紧紧缠绕。设备尾部还有一个长针装置。
张亮怀疑针状装置实际上是无线发射装置。我在网上搜索过偷拍摄像头,和这个差不多。后面是无线发射器,可以同步观看直播。”
据张亮介绍,该设备已改装电路,并与电视机共用插头。总的来说,除了隐藏在一个小孔里的摄像头,和正常没什么区别。在偷窥设备的机身上,张亮还发现了一个插有16张的内存卡槽G的内存卡。
里面有很多私人视频,受害者不止我一个。”张良说。
记者从石家庄市公安局长安分局获悉,该局领导已注意到此事,因案件调查不便。
现在,张良已经和女友一起回北京了。然而,风暴笼罩在他心中。我不敢再相信酒店了。我不能每次住酒店都仔细检查酒店里是否有摄像头,张亮告诉新京报记者。”
近日,服务业多起针孔摄像头偷拍事件曝光。
6月15日,钟女士在深圳一家优衣库试衣时,发现试衣间有针孔摄像头,引起社会关注。新京报记者后来从深圳龙华警方获悉,涉嫌偷拍的嫌疑人已被警方逮捕。优衣库回应说,嫌疑人不是店里的员工。
此外,《北京新闻》此前报道称,在河南省郑州,游客黄先生和他的女朋友住在当地的玉台酒店。在房间的电视下面,他们意外地发现插座里有一个针孔摄像头。6月23日,郑州警方就玉玉泰酒店针孔摄像头。一家保险公司的员工在网上购买了偷拍设备,并在酒店房间安装了设备。经检查,未发现偷拍视频泄露,已被拘留。
288元买了20个偷拍机位,包括酒店和家庭房间
事实上,张亮发现的偷窥摄像头只是产业链冰山一角。
相机造成的隐私泄露并不少见。一位熟悉黑产品的人士告诉《北京新闻》,私人视频主要通过销售实现。”
记者调查发现,目前黑市流通的偷窥视频一般分为两种,一种是人工安置的偷窥摄像头拍摄收入,另一种是利用摄像头漏洞收入。
在网上,记者和一个昵称AAaaa专业破解QQ联系用户。该网友提供的一份价格表显示,8家酒店的房间被监控,12个家庭房间被送到床上。活动体验价288元,仅限一天。手机和电脑可以操作任何设备,价格表底部还标明。”
为了证明真实性,网友还给记者发了一张酒店偷拍视频的闪照(QQ一种功能,照片在对方阅读后会自动删除),相机疑似安装在酒店房间的天花板上,只能看到床。
相机具有声音和回放功能。”他表示。
偷拍的背后,黑产人一边偷窥别人的隐私,一边用这些视频疯狂实现。
新京报记者注意到,大量色情网站甚至将摄像头、家庭、酒店、偷窥等关键词设置为标签,方便用户浏览搜索。在一个国际知名的淫秽色情网站上,记者通过搜索关键词摄像头获得1158个结果,搜索酒店获得1480个结果,偷窥获得19942个结果。
令人惊讶的是,目前已经专业化。据熟悉这个黑产品的人士透露,除了淫秽网站,一些街拍论坛也在从事私人材料交易。在一些充值会员之后,可以在这些街拍论坛的会员板块看到。”
7月3日,记者通过搜索关键词街拍进入一家名为街拍的公司CN街拍网站。该网站被称为中国最好的街拍网,并专注于原创街拍的第一站。
在网站的照片滚动窗口中,记者发现偶尔在裙子底部拍照。该网站站务区一篇名为有偿收集原创作品的帖子显示,原创街拍视频的价格从30元到200元不等。
通过帖子底部公布的联系方式,记者与一名昵称为中国街头照片的记者QQ联系用户。街拍中国说cd视频,每起20元,需要2分钟以上。”
街拍中国提到的cd即行话抄底拼音首字母缩写,意思是偷拍女性裙底视频。
EasyN摄像头有漏洞,部分可用guest登录帐户观看
事实上,摄像头本身的漏洞比人安置偷窥相机更可怕。
此前,新京报报道称,一些摄像头的云视通账号被出售,打包全网最低98元。《北京新闻》记者试图以15元的价格购买一个云视通账户,看到一个家庭的私人生活双方都不知道。云视通客服表示,用户在使用旧摄像头时未修改密码,导致账号被盗。
不仅仅是云视通存在问题。
记者用钟馗之眼搜索关键词EasyN后显示,发现约972750个结果需要1.153秒。中国的结果数量为132914条。
《北京新闻》记者在中国搜索的132914个结果中随机选择了20个进行测试,其中11个只通过guest账号(guest该账户为客人账户,用户权限一般有限和默认密码可登录观看现场直播。
7月7日,记者登录某人EasyN摄像结束后,看到一位身穿黄色连衣裙的女士的日常生活,甚至能清晰地听到她的脚步声。
一位安全圈人士指出,guest一般用户不会修改用户账号密码。也就是说,EasyN相机容易造成隐私泄露。
商标EasyN持有人为深圳市普顺达科技有限公司(以下简称普顺达)。根据工商资料,普顺达成立于2006年10月26日,注册资本为1100万元。公司经营范围为网络电子产品和计算机周边产品的技术开发和销售;国内商业、物资供销行业;货物和技术进出口。(以上不包括法律、行政法规、国务院决定需要预先批准和禁止的项目);生产网络电子产品和计算机周边产品。
7月5日下午,新京报记者致电普顺达官网联系方式,联系公司工程师。它说,有这个漏洞的产品是多年前的产品,如果用户不改变它guest和user可以通过的密码IP地址进入相机。”
在2014年问题反馈后,我们通知客户提供升级固件,并要求客户在网页上修改密码,工程师说。但有些产品是OEM有些用户没有收到信息,所以有这个问题。2015年以后出货的摄像已经修改了这个问题点。工程师强调。
除了公共场所,摄像头在智能家居中也起着重要的作用。然而,当人们忙了一天躺在床上时,他们没想到会被摄像头后面的一双眼睛盯着。
360于2018年11月发布的《典型》IoT提示设备网络安全分析报告IoT与设备相关的漏洞增长率比漏洞总增长率高14.7%。远程弱密码、预置后门、敏感信息泄露IoT三个常见的设备漏洞。报告显示用户是对的IoT对设备安全的担忧是隐私泄露和盗窃,其次是人身安全、支付安全、病毒攻击和WiFi风险。
路由器漏洞也可能导致摄像头控制
值得注意的是,不仅仅是摄像头漏洞埋下了隐私泄露的隐患。路由器漏洞也可能导致摄像头被控制。一位安全圈专业人士告诉新京报记者。
创宇404实验室副主任隋刚告诉《北京新闻》,如果相机的传输协议是明确的,你可以抓住用户名和密码。同时,获得路由器的权限意味着打开内部网络,并通过其他工具添加用户名和密码进行控制。”
市场上相当一部分摄像头的传输协议是明确的。”隋刚称。
腾讯安全云鼎实验室于2018年发布IoT根据安全威胁分析报告,路由器、摄像头和智能电视是攻击频率最高的三种IoT设备分别占45.47%、20.71%和7.61%。占据IoT由于市场拥有量巨大,设备攻击量近一半的路由器一旦出现漏洞,很容易引发大规模攻击。
据安全圈专业人士介绍,通过攻击路由器,犯罪分子不仅可以控制摄像头,还可以监控用户的网络行为。
早在2015年,就有网友在我爱破解网站的悬赏问答区中提到了飞鱼星路由器的漏洞。帖子称飞鱼星在线行为管理路由器可以获得加密用户密码,并提供飞鱼星路由器的密码,奖励50枚爱币寻找密码。
记者发现,四年后,一些飞鱼星路由器的密码仍然直接显示,登录密码可以通过开源软件的密码字典获得。
6月26日,安全人士佳伟(化名)通过Zoomeye搜索关键词搜索关键词volans(飞鱼星)共搜索11393个结果,包括11056台设备和205个网站。
通过信息卡IP安全人员贾伟随机进入路由器登录页面,发现路由器的密码保存在网站的根目录下,访问没有限制。也就是说,路由器有敏感文件泄露漏洞,可以导致管理密码泄露。
佳伟很容易获得一系列密文密码,因为敏感文件泄露漏洞。
将字符串导入常用的开源密码恢复工具后,借助密码字典可以获得路由器的密码。白帽子于小葵(化名)告诉新京报记者。
佳伟测试了钟馗眼中显示的前五页路由器。前五页共有100个路由器,其中90个在线,10个离线。测试发现,共有15次测试成功,获取密码的整个过程大约需要十秒钟。
显示的字符串实际上是密文密码。从理论上讲,只要路由器能够获得密文密码,就可以破解密码字典的大小和时间。小葵说白帽子。
Zoomeye在飞鱼星的客户中,中国以107593的数量排名第一。从全球分布图来看,北京、上海、香港、成都、东莞、沈阳分布密集。
于小葵告诉《新京报》,路由器攻击门槛很低,但隐患很大。直接显示管理密码无异于直接为黑客打开后门。初级黑客几乎不需要技术就可以登录路由器的后台。路由器下的所有计算机都通过路由器与互联网连接,风险很大。”
安全谷(北京)科技有限公司经理菅宏告诉《新京报》,一旦路由器受到攻击,用户的行为很容易受到监控。可以通过对WiFi攻击,入侵路由器后,看 到路