医院妇科手术遭非法直播,供人实时观看。此类事件引发公众对 *** 摄像头安全和隐私保护的讨论,有网友担忧,背后可能会有更深的产业链。
卖家发布的医院妇科手术台监控视频截图。
记者近日调查发现,有不少国内监控视频在境内外 *** 平台传播,以推特(Twitter)、电报(Telegram)和 *** 等平台为主。这背后形成了一条利益链:有人私自安装 *** 摄像头或破解他人摄像头权限,然后将摄像头ID出售,供人实时观看,还有人专门做卖家的下线 *** 。
*** 展示的转账记录和交易截图。
“如果不学习,谁愿意卖这个?”有 *** 称,摄像头ID又称“台”,卖台只用一天就能赚回成本。除了妇科手术台,还有还包括厕所、宿舍、更衣室、酒店等的摄像头ID套餐,价格在一百到六百元不等,有些“精品”ID被炒至上千元。
有 *** 称,为使利益更大化,会将同一个ID转卖给多人;而监控视频中的 *** 、色情情节则会被录成视频,打包发布在群聊或网站中,付费才能看。
记者调查发现,破解和安装摄像头成本低,ID和相关视频售价高, *** 着不少买家转变为 *** 。裁判文书显示,有作案团伙在宾馆安装 *** 摄像头,此后层层转售,发展下线超过300人。
屡禁不止的黑产背后,存在着监管和追责难问题。有致力于 *** 安全的专业人士表示, *** 摄像头的“弱口令”导致破解的门槛低,以至在互联网空间“不设防”。且因技术和历史原因,厂家在自查、召回和追责方面均有难度。
另有专业人士分析, *** 产业链行为本身具有灵活性和隐蔽性,相关行为的定性和法律适用问题也时常困扰着办案人员;而从受害者角度来说,由于心理上的恐慌和时间、金钱耗费大,并不一定都能配合取证或坚持追责。
厕所、卧室、手术台都可能被实时偷窥
“都是有裸体的台才会拿出来卖。喜欢偷窥的来。”1月19日,有卖家在推特上这样为自己售卖的摄像头ID打广告。
卖家发来的摄影头实时监控套餐。
记者以买家身份向该卖家咨询,对方称,因微信账号会被封,现在他只能通过推特和电报群聊引流。他称,花280元到480元可购买对应的“套餐”,通过对应的设备ID,用户便能实时监控他人卧室、厕所、 *** 店、女更衣室、学校女宿舍、妇科检查科室、情趣酒店、民宿等场所,观看软件包括云视通、绿房子、乐橙、萤石云、360监控。
除了一对一的售卖,还有卖家建立了专门用于交易的群聊和网站。
卖家或群主发布的监控视频录播。
在加密聊天软件Telegram上,记者加入了一个群成员超过8000人的群聊,发现成员均为禁言状态,群主会分享通过摄像头录制的色情视频,如想看更多 *** 画面,则要交钱“赞助”。
群主称,该群的监控视频源自自行安装的 *** 摄像头。“就是正常的网上卖的家庭摄像头。”该群主称,安装者将摄像头安装到酒店隐蔽的位置,通过官方软件可以观看实时监控和云回放。
该群主称,每个公司摄像头软件使用方式不一样,以前主流的可用来 *** 的是360摄像头,目前主流的是萤石云、乐橙、TP-LINK安防,这三个软件在应用市场都能下载。
“一般情况,你们接触到真实卖台的人都是 *** ,摄像头安装者本人是不会出来卖台的,机主发货、 *** 卖货,所以这价格不可能太便宜,再加上风险成本,如果不学习,谁愿意卖这个?”该群主称。
另一个群成员超过3000人的视频分享群中,群主称,想看更多监控视频需要在网站购买邀请码、注册会员并选择“赞助”时长,再发送邮件到特定邮箱,再接收每日整理好在线观看地址。
除了在境外平台推广售卖监控视频的情况外,疑还有部分卖家活跃在 *** 上。
记者查询发现, *** 上有多个名为“云视萤石云宾馆监控”“云视家庭破解ID”的群聊,已无法加入,但根据群聊介绍可关联到相关的 *** 人员或者 *** 号,对方均表示可以售卖摄像头ID或者录播视频,且称可出售针孔设备。
部分卖家仍在qq中招揽生意。
被轻易破解的摄像头弱口令漏洞
除了私自安装摄像头 *** ,卖家还会通过软件破解他人摄像头观看权限,这种方式成本更低。
“如果单纯买监控自己看,买云就行了,如果想和我一样卖台,就得买扫台软件(即破解软件)。” *** 小周对记者说。
卖家发来的摄像头破解软件
小周称,610元可以买到“扫台”套餐,包含销售渠道和运营教程。
“扫台软件能破解监控摄像头,发现有‘精品’、有看点的话,就留着ID售卖。”小周声称,卖台(ID)是一本万利的生意,不需要花费太多时间,可以当作 *** 来做。卖掉一个ID不等于失去它的权限,仍能将它无限次转卖给别人。
小周展示他的转账记录称,1月17日有多人向其转账,总金额超过1000元;他展示的聊天记录显示,他还向其他卖家提供了监控视频的账号和密码。
另一名卖家小洪自称,他是“最上面的人”,其他 *** 都是他教的。
记者发现,小洪出售的云视通“扫台软件”中,包含扫描器、弱口令检查工具等一系列工具包的下载链接。小洪称,通过安装这些文件,可以扫描并破解摄像头的弱口令,得到ID结果。
小洪发布的一段操作视频显示,在云视通APP输入对应设备ID并点击连接,界面立即出现数十个家庭、宾馆内的实时监控,再点开另一个设备ID,显示出妇科手术室的实时监控。
为何所谓的“扫台软件”可以轻易破解他人摄像头?长期致力于 *** 安全的专业人士、 *** 尖刀创始人曲子龙认为,这与互联网刚起步时期的生态有关。
曲子龙向记者解释,早期厂商为了方便顾客,便在摄像头出厂时设置了初始密码,例如“66666666”“88888888”。但很多顾客对密码重新设置概念不强,这导致弱口令的存在。而且只要知道摄像头品牌,网上可查询到数初始密码,便可破解摄像头,这也是当前大部分摄像头通过破解密码而被他人操控的原因。
“破解的门槛低。”曲子龙称。
他表示,公共场所的摄像头被破解,原理跟家庭摄像头被破解原理一样,大概有三种方式:之一种是通过攻击监控机的电脑进行破解,第二种针对新一代的联网摄像头,大部分是通过匹配摄像头出厂默认的密码、弱口令的方式被破解。
“第三种就是嗅探厂家调试后门或通过特定漏洞进行破解,相比前两种方式,这种攻击在 *** 摄像头产业并不常见,相对来说有一定的技术门槛。” 曲子龙说。
畸形癖好和窥私欲下的疯狂黑产
曲子龙称,目前的摄像头破解生意,一种方式是将摄像头接到指定账户后售卖权限,买方实时观看;另一种方式是直接录制特定画面后售卖。
记者梳理多份裁判文书发现,从利用软件破解摄像头或私自安装 *** 摄像头,到拍摄 *** 或 *** 视频,再到售卖和发展下线,是摄像头 *** 黑产的重要环节。
中国裁判文书网2018年公开的一份判决书显示,2017年7月初,河北男子王某帅利用软件破解他人家庭摄像头的IP账号和密码信息,侵入并控制了30余台家庭摄像头的信息系统。
王某帅还在 *** 上组建了5个 *** 群,将破解教程和ID打包,以每包88元的价格出售给他人。法院认为,王某帅构成提供侵入、非法控制计算机信息系统程序、工具罪,非法控制计算机信息系统罪,贩卖淫秽物品牟利罪。
记者此前报道%2c2020年2月公开的一份山东省济宁中院刑事裁定书显示,赵某等人以非法牟利为目的,分别或结伙在国内超9个城市的宾馆房间内私自安装360摄像头,拍摄入住客人 *** 的淫秽实时视频,并通过 *** 将观看上述淫秽视频的“邀请码”销售给沈某、崔某等十余人,上述人员加价后再通过 *** 相互转卖或贩卖给他人牟利。
赵某等4人通过 *** 等软件推广并发展了超300名下线,一个邀请码更高能卖至600元以上,每个摄像头最多可生成100个邀请码,供百人同时在线观看,不少 *** 在一两月内便获利数万元。
在低成本高利润的黑产背后,是畸形的偷窥欲望作祟。
记者在上述群聊内添加的扫台软件买家小林说,他加入了很多 *** 群聊,里面有很重口味的内容。他自称“好这一口”。在发现扫台软件无法使用后,他举报了群主的支付宝账号。
“部分群体的心理畸形和特殊癖好,使得某些特定视频变得更值钱了。”曲子龙说,摄像头破解已形成垂直黑产,从传统的个人破解窥探隐私,转变成了纯商业化的非法买卖、建立在侵犯个人隐私基础上的商业化运营。
追责和监管存在的困境
近年来,相关部门加大力度打击整治 *** 黑产乱象。
如,2021年5月以来,中央网信办会同工业和信息化部、公安部、市场监管总局深入推进摄像头偷窥等黑产集中治理工作。中央网信办指导各地网信办督促各类平台清理相关违规有害信息2.2万余条,处置平台账号4000余个、群组132个,下架违规产品1600余件。对存在隐私视频信息泄露隐患的14家视频监控APP厂商进行了约谈,并督促其完成整改。
但 *** 和偷窥黑产仍没有被根除。
“打击 *** 产业链最难的是这个行为本身具有灵活性和隐蔽性。嫌疑人可以在任何时间、地点从事设备改装、 *** 偷录活动,真的是让人防不胜防。”不久前,江苏省常州市公安局武进分局网安大队副中队长陆叶涛在接受央视网采访时说。此外,嫌疑人到案后其使用的设备器材能否顺利查获并收缴,收缴后能否认定为窃听窃照专用器材,非法获取、非法控制的摄像头账号等电子证据该如何固定, *** 偷录具体涉及的行为该如何定性和法律适用等问题,都在困扰着办案民警。
从受害者角度来说, *** 也并非易事。
中国政法大学刑事司法学院副教授接受央视网采访时表示,很多受害人基于隐私保护的顾虑或者其他原因,可能在配合取证方面也有一定的阻碍,被 *** 的时间和地点就难以形成一个完整的证据链。
曾被房东 *** 的山西女孩琳琳(化名)告诉记者,房东掌握了不少自己在出租屋的私密视频,她曾犹豫是否要曝光。在房东被刑拘后,她仍时常感到恐慌,她总觉得正常生活受到影响,对后续追责也感到不自信。
小唐入住的宾馆内两次发现针孔摄像头。
曾于2021年10月入住湖南郴州一家宾馆的女子小唐,在宾馆内部发现针孔摄像头,换房后又发现针孔摄像头。她于是报警。
2022年1月21日,小唐告诉记者,警方近日已抓到 *** 者,并移送起诉。但涉事宾馆从未联系过她,追究民事责任也较为困难。“法律上对这种事情赔偿也不多,而且我不是当地人,(追责)还得请律师和去当地,实在没时间去做这些事情。”她说。
对摄像头厂商的监管及其自我监管也存在难点。
曲子龙说,首先,因技术原因,商家自查并不一定能发现摄像头被破解。其次,账号、密码的登录方式缺少多因子的风控。最后,之一代摄像头具有“非联网、非云端”的特点。“有可能一个小型公司倒闭了,但它此前售卖的摄像头还在市面上被使用。厂商无法进行监管,考虑到安装、拆除的成本,也不太可能将摄像头召回。”
曲子龙强调,很难从法律上界定摄像头厂家的责任,在《数据安全法》等法规颁布之前,买卖摄像头的双方只属于买卖合同关系,现在无法用法律去追究历史责任。
“比如我5年前向你买了一个摄像头,我们俩之间存在商品的‘三包条款’,也就是你要保证摄像头可用,而且不是坏的。你(卖方)需完整向买方提供质保服务,但并不包含不泄露隐私、不可以被黑客破解、遵守隐私保护相关法规等。”曲子龙称,以前对摄像头的产品设计并无关于不泄露隐私等要求,因此,(当时的)企业很难有动力去按照这个规格提升产品的成本。
曲子龙建议,无论是摄像头、社交账号、网站账单,理论上都应该定期更换密码,尤其是常用的和钱财、隐私相关的账号。对于不用的账号或者功能,应该直接把它注销掉,或者把功能关闭掉。(记者 庄岸)
近日名为 Nimbuspwn 的漏洞组合被曝光,可以让本地攻击者在 Linux 系统上提升权限,部署从后门到勒索软件等恶意软件。微软的安全研究人员在今天的一份报告中披露了这些问题,并指出它们可以被串联起来,在一个脆弱的系统上获得 root 权限。 Nimbuspwn 存在于 networkd-dis...
因担心俄乌冲突引发的近期针对欧洲卫星网络发起的攻击可能很快蔓延到美国本土,政府机构已经向卫星通信网络运营商发出了“潜在威胁”预警。在美国网络安全与基础设施安全局(CISA)和联邦调查局(FBI)本周联合发布的一份公告中,其敦促卫星通讯(SATCOM)网络提供商和基础设施组织加强安全防御。若被入侵,或...
Hackernews 编译,转载请注明出处: Adafruit 披露了一个数据泄露事件,这个事件是由于一个可公开查看的 GitHub 存储库引起的。 该公司怀疑这可能允许攻击者对2019年或之前对某些用户的信息进行“未经授权的访问”。 Adafruit 总部位于纽约市,自2005年以来一直是开源硬...
Surfshark的一项研究显示,自3月开始入侵乌克兰以来,俄罗斯账户被攻破的次数比2月多136%。反过来,乌克兰在黑客攻击中充当受害者的场景比战争前的那个季度少67%。这些数字很可能是由于黑客组织Anonymous在冲突开始时宣布它将特意针对俄罗斯的事实。 sandr Valentij说。”泄...
根据区块链数据公司Chainalysis的一份报告,在2021年底,网络犯罪分子拥有超过110亿美元与非法活动有关的加密货币,比2020年底的30亿美元有了飞速的增长。最有利可图的犯罪行为是盗窃。据该公司称,犯罪分子、加密货币钱包中93%的资金是由价值98亿美元的被盗币构成。 为了找到这些数字,Ch...
文件压缩软件 7-Zip 被爆零日安全漏洞,允许攻击者提权并执行任意代码。目前开发团队并未发布补丁,但普通用户可以通过简单操作来让这个漏洞失效。上周,研究人员 Kağan Çapar 发现并公布了 7-Zip 的一个零日漏洞,该漏洞可以授予权限升级和命令执行。 它被命名为 CVE-2022-290...