Este no puede ser un buen día para la policía de Miami.
Sabemos desde hace tiempo, que muchas webcam son como un choque de trenes para la seguridad, y eso no cambia solo porque sea un oficial de policía quien la utilice.
Ahora, como era de esperar, se han encontrado imágenes de las cámaras del cuerpo de la policía, en internet.
No se trata solo de que un terabyte de vídeos de las cámaras del Departamento de Policía de Miami, se filtraron y almacenaron en bases de datos sin protección que se encuentren en internet, según afirma el equipo de seguridad que los encontró, sino que además de que se filtraron, luego se vendieron, según Jason Tate, CEO de Black Alchemy Solutions Group, quien le dijo a The Register que su equipo había encontrado las imágenes a la venta en la darkweb.
Both- leaked and sold and still shared right now on a public server belonging to MiamiPD
— Cyber Intelligence Done, Intelligently (@bitsdigits) July 1, 2019
Tate primero tuiteó sobre el descubrimiento el sábado, incluido un vídeo de muestra, que ya ha sido eliminado.
El CEO de Black dijo,que los datos vienen de cinco proveedores diferentes de servicios en la nube. Además de la Policía de Miami, se filtran vídeos de los departamentos de policía de ciudades “de todo Estados Unidos”, dijo.
Parece que estos 5 proveedores tienen contratos municipales por todas partes.
Caos de seguridad conocido
En agosto pasado, un investigador de seguridad, Josh Mitchell, consultor de la firma de seguridad Nuix, analizó las webcam de cinco proveedores que venden a las fuerzas del orden de EEUU. Detectó vulnerabilidades en varias marcas muy conocidas que podrían colocar a un atacante en control de una cámara y manipular el vídeo.
Mitchell descubrió que la falta de seguridad en las webcams de la policía incluía la transmisión de información confidencial, sin cifrar del dispositivo que podía permitir que un atacante con una antena direccional de alta potencia espiara los dispositivos y recopilara información, incluida su marca, modelo e ID exclusiva. Esto podría poner en peligro a la policía, ya que un atacante podría rastrear la ubicación de un oficial o incluso sospechar cuando varios policías están coordinando una redada, dijo Mitchell a la audiencia de la DefCon en ese momento.
Mitchell, también descubrió que algunas cámaras incluyen sus propios puntos de acceso Wi-Fi, pero no los protegen adecuadamente. Un intruso podría conectarse a uno de estos dispositivos, ver sus archivos e incluso descargarlos, advirtió. En muchos casos, las cámaras se basaron en las credenciales de inicio de sesión predeterminadas que un atacante podría omitir fácilmente. Esto podría llevar a los atacantes a manipular las pruebas reemplazándolas con imágenes convincentes de deepfake. (Este es solo un ejemplo de por qué la Agencia de Proyectos de Investigación Avanzada de la Defensa de los Estados Unidos (DARPA) ha estado estudiando el problema de la detección de deepfakes).
Tate es consciente de la posibilidad de manipulación de pruebas. Cuando alguien en Twitter señaló que las imágenes y sus metadatos asociados son “registros públicos en gran parte”, dijo que lo sabe. Sin embargo, eso no significa que no dará lugar a problemas en la integridad de la prueba, dijo:
Sure do!! But when it's mismanaged not redacted and without auth it makes for a field day in case evidence integrity amongst other things
— Cyber Intelligence Done, Intelligently (@bitsdigits) July 1, 2019
El Departamento de Policía de Miami, debe haberse sentido de la misma manera, ya que parece que los administradores del departamento eliminaron los vídeos del acceso público después de que Tate les notificara sobre sus hallazgos. Pero fue accesible al público durante al menos varios días, dijo a The Register. Eso le dio a los ciberdelincuentes una gran oportunidad para copiar vídeos de las bases de datos y potencialmente venderlos.
Un portavoz de la policía de Miami le dijo a The Register que el departamento todavía está investigando el incidente y no haría comentarios hasta que completara su investigación.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario