转自：北京日报客户端

在家里装个摄像头，现在已不是什么新鲜事儿。但如果在使用摄像头过程中安全防护没有做足，就有可能成为不法分子偷窥的目标。北京市互联网信息办公室近日对北京市部分网络摄像头设备开展了远程技术排查，仅未授权访问漏洞类问题就发现200余个，这种情况下无需身份验证就可以获取摄像头控制权限，查看到实时监控画面。

调查：发现未授权访问漏洞问题200余个

市互联网信息办公室近日对本市部分网络摄像头设备开展了远程技术排查。经对部分网络摄像头设备远程技术检测，仅未授权访问漏洞类问题就发现200余个，无需身份验证就可以获取摄像头控制权限，查看实时监控画面。工作人员在检测中还发现，集成大量摄像头设备的管理平台问题尤为突出，经对某监控系统综合管理平台开展检测，该平台全国共625个互联网资产中，有219个存在未授权访问漏洞，问题检出率高达35%。

“网络摄像头一旦遭受攻击被远程控制，不法分子就可能随时窥探摄像头的直播画面，实施不法活动。”市网信办网络安全协调处干部孟翔说。

另外根据网络安全公司BitSight发表研究报告揭示，全球已有超过40000台联网监控摄像头在未设密码的情况下向互联网公开传输实时画面，极大暴露了家庭与办公隐私，成为攻击者眼中的“偷窥利器”。该公司研究人员称地下论坛已有大量黑客设法搜集这些摄像头IP 信息，并将其打包用于出售，其中涉及民众家宅、办公室白板内容、数据中心等敏感场景。

实测：攻击漏洞摄像头只需几分钟

从网络端远程“窥探”或者控制一个摄像头难吗？如果设备存在明显的安全漏洞，对专业技术人员来说，实现起来相当容易。

孟翔向记者展示了一个场景案例，仅仅通过几分钟的操作，记者就看到了电脑屏幕上出现的一家公司的监控探头实时画面。画面里是一间办公室，大概有七八个办公桌，坐着三名正在办公的工作人员。

“这是因为该公司的网络摄像头设备未及时更新固件，设备版本老旧，存在未授权访问漏洞。”孟翔解释，这种情况下，用户很容易被破解账号和密码信息。

紧接着，孟翔又切换到了另一个画面，此时电脑画面显示的是一个家庭的客厅画面，有沙发、茶几、电视，还有小孩的绘本书架等，客厅当时没有人。“这是一个家庭用户的网络摄像头实时画面，该设备开启了RTSP协议，但未设置身份验证措施，测试人员可以直接通过视频工具连接访问摄像头，获取到实时的监控图像。”

孟翔最后还展示了某学校的实时画面，画面里是一间教室，能清楚地看到老师正在给学生们上课。由于该学校监控系统综合管理平台存在未授权访问漏洞，测试人员利用漏洞可获取平台用户名和密码，用来登录管理平台获取管理员权限，查看平台内45个用户共281个摄像头的实时监控图像，还可以任意更改平台相关配置信息。

提醒：个人摄像头切记设置强口令密码

使用网络摄像头，个人隐私存在被泄露风险，消费者应该怎么应对？

孟翔表示，对个人消费者来说，首先要提高个人隐私保护意识，购买摄像头时要选择正规渠道购买合格商品；在使用过程中，要设置复杂度高的强口令，不要仅使用姓名、生日等简单信息作为密码；不要随意共享设备权限，优先选择本地存储模式；在不使用摄像头时，可以关闭、断电或者遮挡镜头，并注意摄像头的放置位置。

市网信办指出，网络摄像头生产厂商应提供修改设备密码功能，并对密码强度做明确要求，强化端到端加密传输；同时，明确告知用户数据存储位置及用途，避免过度收集；还要‌建立完善的漏洞管理体系和固件更新推送渠道，及时推送提醒用户更新升级。

下一步，网信部门将针对网络摄像头隐私泄露问题开展常态化排查整治，并将其纳入个人信息保护专项治理工作范畴，切实维护广大市民合法权益。

来源：北京日报客户端