失控的摄像头：谁在售卖你的私生活？|《财经》封面

王冀（化名），32岁，初中文化，河北邢台人。他通过浏览黑客网站的软件，自学破解摄像头方法，并将破解后的账号卖出。王冀落网后，警方发现，1万余个包含摄像头品牌、型号、IP地址、账户名和密码的信息，被他以word形式存储在电脑里。此外，王冀的电脑中至少有11款破解和入侵摄像头黑客软件，有手机、电脑等不同版本，出售价格从88元到300元的套餐不等。

景宁县公安局网警大队副队长陈勇涛告诉《财经》记者，文档里包含绝大多数国内知名摄像头厂家的品牌，IP地址多位于广东、浙江等地。

王冀没有计算机基础，他这样的卖家，购买黑客软件后经过简单学习便可自起门户，成本很低，处于金字塔状黑产的产业链末端。在他的上家，是与其互不认识、提供攻破软件的“工具党”。

杜河（化名），浙江人，是王冀获取这些软件的上家，两人不相识。杜河的犯罪行为主要是组建QQ群，召集王冀这样的“爱好者”分享软件牟利。目前，王冀和杜河均因涉嫌非法侵入计算机信息系统罪被批准逮捕。在北京市公安局网安总队同期侦破的另一起同类案件中，6名出售软件的卖家，18名购买软件并非法入侵智能摄像头的犯罪嫌疑人被捕。

但是，监控黑产链远比暴露在视野中的长，分销商和工具党之上、位于金字塔顶端的是一些掌握顶尖技术的黑客，他们能迅速发现、攻破安全漏洞，编写满足不同需求的破解软件。

“不要问我怎么破解监控摄像头，因为实在太简单。”一名黑客说。

一些黑客利用程序工具攻击，一秒钟便可攻破大量摄像头。网络安全公司知道创宇404安全实验室（下称“404实验室”）曾向《财经》记者模拟测试一次攻破摄像头的过程，利用网络安全漏洞，通过简单的攻击指令便可迅速获取摄像头的账户密码，进而控制摄像头、获得实时影像。

早在2013年底的黑帽安全技术大会上，有人披露一些国外知名厂商生产的监控摄像头的安全漏洞，声称可以像好莱坞电影一样操控网络监控摄像机，并进行演示。

另外一支黑客团队告诉《财经》记者，他们曾在2017年3月、7月和11月分别发现国内几家知名厂商所生产的摄像头存在严重安全漏洞泄露，但信息在披露前被“公关”掉了。

冰山一角

在家中安装智能摄像头的目的，大多是为了安防。家住北京市朝阳区的刘米在卧室安装了一款可360度旋转的高清智能摄像头，离家上班时，她会打开监控画面，观察自己宠物狗的生活状况。但安防产品随着系列黑客活动，却成为安全漏洞。

通过简单破解，家庭生活被直播、录制，甚至可能流入色情产业。404实验室总监隋刚告诉《财经》记者，监控黑产既通过销售获利，也会向博彩、色情等地下产业导流盈利。

如果只在黑产中私下流传，伤害尚小，但一旦发生隐私泄露并被公开，将对受害者造成不可预估的伤害。2016年9月3日，河北邯郸市公安局通报称，2015年7月，河北省馆陶县一对男女在轿车内亲热时被巡逻辅警王某某等发现，王某某擅自使用手机录像，后该视频外泄并传播。一年后，当事女子在馆陶县巡特警大队门口服农药、经抢救无效身亡。

除导向偷窥、色情产业链外，另一类黑产诉求意在感染摄像头后发起DDoS攻击，这种攻击是指黑客将多个设备联合起来作为平台，同时向某一对象发动攻击使其服务停止。

在多位黑客和安全工程师看来，这类现象更为普遍而难以被察觉。2016年10月21日，美国东海岸网络遭遇三名黑客DDoS攻击，超过半数美国人无法上网，包括Twitter、亚马逊、Airbnb等知名网站宕机，其恶意代码感染对象就是智能摄像头、路由器等设备。

另一种担忧在于个人信息黑产与摄像头入侵黑产两个链条的结合。2017年6月，央视曾演示一种摄像头控制方法，安全工程师精准攻破受测摄像头后使得画面静止，而真实房间内的被拍摄物品已被拿走。家居智能摄像头画面被劫持，使得证据无法固定，或受害者被蒙骗、监控等，这在“技术上是完全可能的”，隋刚担忧地说。

智能摄像头，是最受黑客青睐的物联网类设备种类之一。极光大数据截至2017年10月的数据显示，搭配智能摄像头使用的四款头部应用，安装总量超过1500万。2017年6月18日，国家质检总局在官网发布智能摄像头质量安全风险警示，称产品质量监督司采集38个品牌共40批次的样品进行抽检，结果显示，存在安全漏洞的多达32批次，占比高达80％。受测品牌涵盖360、小米、中兴、三星、海康威视等排在市场关注度前五位的产品。

作为公安部领导下的国家级网络安全和安全防范第三方机构，公安部第三研究所亦曾对主流视频监控类产品进行安全检测。其检测中心常务副主任鲍逸明告诉《财经》记者，结果与质检总局检测结果基本吻合。

国家通用电子元器件及产品质检中心工程师李乐言此前曾向央视表示，目前正在投入使用的摄像头存在相当大的信息安全隐患，未来将被生产出来的摄像头风险将长期存在。

北京、浙江两起浮出水面的摄像头入侵黑产案件中，卖家和黑客均因涉嫌违反《刑法》第285条被批捕，该条共计三项罪名“非法侵入计算机信息系统罪”“非法获取计算机信息系统数据、非法控制计算机信息系统数据”“提供侵入、非法控制计算机信息系统的程序、工具罪”，最高刑期七年。

此外，《刑法》第283条规定，非法生产、销售专用间谍器材或窃听、窃照专用器材的，据情节严重程度处七年以下有期徒刑。

对于公民隐私被侵犯的民事法律救济渠道，依据《侵权责任法》，受害者可提起隐私权侵权民事诉讼，要求入侵黑客和买家停止侵害、删除被录制的视频图片等，并要求相应赔偿。如果摄像头软件运营者和网络服务提供商未及时采取补救措施，亦可能承担连带责任或损失扩大的赔偿责任。如果产品本身有严重缺陷导致此类问题，还可按照《侵权责任法》《产品质量法》《消费者权益保护法》直接追究生产者责任。

不过，一些企业不愿承认风险的存在。一家致力于C端摄像头市场的公司告诉《财经》记者，他们不认为市场上的摄像头安全问题有多严重，舆论热议是因为与其他智能硬件相比，摄像头出现安全风险更吸引眼球。他们通过客服反馈渠道显示，并未发现其摄像头产品出现严重安全事故。

事实可能是，受害者未必知道自己的隐私正被直播和贩卖。《财经》记者检索，尚未发现因隐私被监控泄露而提起侵权诉讼的案例。

被侵权人往往并不知情，即便发现隐私被侵犯后报案动力亦不足，因而监控黑产暴露在执法者视野中的只是冰山一角。

王冀归案时虽被查获破解摄像头ID 1万余个，然而警方尚无法通过画面和地址确定受害人，这成为该案侦办最大难点之一。而对于DDoS攻击或破解入侵平台等犯罪来说，由于成本高昂、耗时长，警方更难追溯到上游黑客。

一家旗下平台有大量智能摄像头账号流入黑产的厂家市场人士告诉《财经》记者，已发布通知愿意配合受害者维权，但截至目前未接到任何用户维权求助。

（编辑：常州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!