新京报
最近,温州警方破获了非法控制家用摄像头事件,控制了32名犯罪嫌疑人。警方介绍说,犯罪分子非法销售一家公司品牌应用程序破解工具,使用应用程序破解工具扫描他人的摄像头,控制数十万只家用摄像头。警察召开记者招待会,现场展示犯罪嫌疑人的犯罪工具。
从卖家提供的酒店观看频道可以看出,一名男子趴在床上。
卧室监控截图,该账号由卖家作为观看渠道,吸引买家。
卖方向记者发送了闪光照片和监控截图。
王明(化名)夫妇的卧室画面陷入偷拍。
12月17日晚上,王明夫妇在卧室聊天。妻子手里拿着毛巾坐在床边洗脚,位置对着相机。她完全不知道镜头另一边有人看清了这些。
这对夫妇可能没有想到,两人的日常生活已经成为“收视频道”,把偷拍当作吸引别人的福利。这个家庭使用的相机有播放功能,外出一个月、回家、做什么、被卧室里的相机同时直播。
据新京报记者调查,类似的CCTV在网络上传播,除了破解非法摄像头、销售偷拍视频、传播的黑山链和家用摄像头外,还有人在酒店安装针孔摄像头,窥探别人的隐私。
根据行业调查公司IHS市场数据集,2017年中国在公共和个人领域(包括机场、火车站和街道)共安装了1.76亿台监控摄像头,据媒体预测,到2020年,中国安装的摄像头数量将增加到6.26亿台。
近年来,各地警方不断揭发黑客非法控制家用摄像头的事件。最近温州警方控制了32名犯罪嫌疑人。警方介绍说,犯罪分子非法销售一家公司品牌应用程序破解工具,使用应用程序破解工具扫描他人的摄像头,控制数十万只家用摄像头。
数十万台家用相机被非法控制
新京报记者从温州警方获悉,今年6月温州市公安局安智区进行网络巡逻时,在一些网络论坛、贴吧、社交工具上交易了多家公司品牌的家用相机破解工具和受控的家用相机账户密码。
通过进一步调查,警方还出售了嫌疑人用家用相机拍摄的个人视频,部分内容还包括私生活。
警方在调查中发现,相关嫌疑人销售的监控录像账号达数万个。从视频的拍摄角度和内容可以判断为是在当事人不知情的情况下拍摄的,部分相机安装位置敏感,范围广,包括家庭卧室、美容院、个人会所等。
温州警方逮捕的黑客的陈述称,他们制作了摄像头清洗软件,扫描账户密码设置强度低的摄像头进行解密,强行入侵,控制别人的家用摄像头系统。
警方介绍说,这些人非法入侵相机系统,收到个人视频后,会进行贴吧、QQ群买卖、与他人交换相机账号。根据视频的隐私程度,价格从5元到60元不等。犯罪嫌疑人包括全国各地。
温州市永嘉县警方抓获的30多岁男子没有正式工作。出于好奇心,在网络论坛上发现了可以破解摄像头软件密码的软件,之后贪求建立QQ群,在集团内出售破解的账号和密码,赚取生活费。
据永嘉县警方称,此次行动中逮捕了11名犯罪嫌疑人,一名嫌疑人在生活中不认识对方,通过网络以虚拟身份联系。他们在销售相机的账户和密码时,会先给顾客看一些片段。顾客视察后,通过支付宝、微信红包直接转账,就可以获得被监视的账户密码。与事件相关的金额达一万元。
温州警方介绍说,这种犯罪严重侵犯公民隐私,社会危险性大,是新型网络黑客犯罪。经过2个多月的调查,温州市公安局网络安全区组织永嘉、吴海、龙湾等8个县市区问候,
派出所等警力开展跨省收网行动,分别在海南、河北、河南等二十多省市抓获张某某、李某某等犯罪嫌疑人32人。经审查,犯罪嫌疑人对于非法贩卖摄像头破解工具,以及利用摄像头破解工具对他人的摄像头进行扫描、控制的犯罪事实供认不讳。目前,涉案人员均已被采取刑事强制措施,案件还在进一步侦办中。
网上存在大量买卖监控视频现象
新京报记者调查发现,目前,网络上仍有大量买卖类似视频的渠道。
“需要监控资源吗?”12月中旬,新京报记者加入一些名为“摄像头共享”“摄像头ID”的QQ群。一进群,就有卖家与记者私聊,推销其手中的监控视频资源。
为了吸引记者购买视频,同时也为了避免封号,一名卖家通过“闪照”功能,发送了一些露骨的画面给记者,虽然这些视频三秒就自动销毁,但仍可以看到日期均为近期。此外,他还发送了数张家庭日常生活监控截图。画面中,有母亲在哺乳,有一位女士坐在床上玩手机,还有一位美容院的客人赤裸上身。从神情来看,他们都不知道自己正在被偷拍。
为了证明自己的货源真实,对方发来一个监控账号,让记者试看。记者按照指示下载相应软件,输入账号、密码就能看到监控画面。记者注意到,这个密码非常简单,是三位连着的数字。
输入密码后,一经联网,画面即弹出。这个账号属于一对夫妻,姓名、地址不详,但他们的一举一动都暴露在他人的手机上。通过视频,可以看到这对夫妻家中卧室、门口走廊的画面。另外,摄像头有夜视功能,晚上可以清晰看到床上的人睡觉翻身的动作。
在一些贴吧中,同样存在贩卖摄像头账号的行为,买家一旦获取了账号和密码,也就获得了在app中操作摄像头的全部功能,包括录像、回放、转向,甚至还有对讲功能。一位卖家在帖子中强调“不要随便动摄像头”,他们担心他人频繁转向,会引起被偷拍者的察觉。
温州警方在调查取证中也发现,受害人对偷拍毫不知情,一位市民表示,自己完全不知道自己家摄像头被他人破解了,回去后要提醒身边的人。
70元可买300个摄像头ID
新京报记者调查发现,在互联网上,破解监控,买卖、交换私密视频,已经形成了一条完整的利益链条。
不同的卖家抛出的价位不同。一名卖家给记者发来十余张不同家庭的卧室截图,并提到“对床视频70元十个”。也有卖家15个ID卖188元,卖家发来的截图有美容院、按摩店、卧室的,其中一张是卧室实时截图,画面中有女士羽绒服和围巾。
在一个群里,一位卖家抛出了更便宜的价位,“70元300个频道任你挑选,按摩、大床、夫妻、美容院居多,妈妈再也不用担心视频离线了”。
除了买卖,更多活跃在贴吧和QQ群的人提出互换摄像头账号。换账号的要求很高,必须有“精品”视频,对方才愿意交换。也有人会收购视频账号,“更衣室的精品ID,30元起”,甚至还有人在贴吧中求浴室监控视频账号。
记者注意到,在这些卖家中,有骗子混迹其中,买家将钱转过去后不发账号,还有卖家在贴吧中曝光骗子。
新京报记者调查发现,除了买卖、互换摄像头账号,也有人售卖破解软件。一位卖家的手机中,装有“天眼通”“蓝精灵”“上帝之眼”等,他售卖的“天眼通”APP价格398元,号称可以搜索附近一千米所有品牌摄像头,每天扫描摄像头数量不限量。他透露,这款软件是以前的“天巡”、“刺客”等软件功能的后台整合。
其演示视频显示,软件打开后可同时显示9个画面,有整理、精品收藏、回放功能,其破解摄像头的账号和密码在下方显示。
另一位卖家则售卖一款388元的破解软件,专门扫描某个品牌的摄像头账号。扫描软件截图显示,该APP可以同时扫描一万个ID账号,并有查询在线ID的功能。
卖家兜售酒店私密视频账号
新京报记者发现,摄像头账户价格因场景不同有所区别,其中酒店的最贵,卖得最火,一些卖家为了规避审查,会将QQ群名称写成“9店”。
一位卖家主动加了记者微信,兜售酒店私密视频账号,10个账号480元。卖家发来了一段演示视频,他将自己手机上的软件打开,画面展示一对情侣睡在酒店圆床上,时间是12月20日12点,卖家一边操作一边讲解:“这是高档酒店的,你要的话直接发红包。摄像头可以转动、可以放大,高度清晰,可以直接下载或者回看一个月的记录。”
至于视频来源,对方表示“这你就不用管了”,不过他透露,这都是针孔拍摄,对方发现不了。
为了表示诚意和视频的真实性,他发来一个账号让记者体验。在相关软件中打开后,可以清晰看到一个酒店房间的场景,里面摆放着红色沙发和床。从画面角度看,摄像头隐藏在空调中,一名男子躺在床上打电话,打开声音,可以清晰听到他和别人交谈的事情。他还提到了自己的名字,挂电话时还向对方报了一遍自己的电话号码。这个软件同样有回看功能,近几日房间内入住人员的情况一览无余。
还有一位卖家,买卖的视频均是酒店内男女发生性关系的场景,20个ID售价188元。卖家表示,他破解了别人在酒店装的针孔摄像头,“不会被发现,都是很隐蔽的,就算发现了也跟你没关系”。
关于酒店安装针孔摄像头的情况早有存在,今年11月,浙江省公安机关在“净网2019”专项行动中,查获了一起从设计制作专用芯片、搭建远程控制平台,到加工组装伪装配件,并线上线下同步销售针孔摄像头的非法制售利益链条。警方发现,下游使用针孔摄像头的安装位置,包括家庭、宾馆、办公场所,其安装意图有的是为了偷窥他人隐私,也有为了传播淫秽物品,甚至有组织卖淫的。
警方介绍,除了无线路由器和时钟,常被改造伪装的日常用品还有烟雾报警器、电源开关插座等屋内常备装置。此外,便携手持的常用设备,如充电宝、手表、打火机,甚至饮水杯,也常被改造成偷拍工具。
据媒体报道,发现隐蔽摄像头的方法非常简便。只需要准备小时候玩的红色玻璃纸,用红色玻璃纸同时遮住手机镜头和闪光灯,在闪光灯开启的状态下给可疑的地方拍摄视频,如果发现发光发亮的物体,那就是针孔摄像头,原理是它会在相机红光的照射下发生反射。
密码简单账户易被入侵
温州警方表示,非法入侵他人摄像头社会危害极大,并存在隐患。除了严重侵犯网络信息安全外,还严重侵犯个人隐私,犯罪嫌疑人对录制的视频,按照私密程度进行分类、贩卖,同时为传播和扩散埋下了隐患,社会危害性极大。此外,容易诱发人身、财产类犯罪,基于犯罪嫌疑人利用黑客工具非法控制网络智能摄像头进行偷窥、录制、传播不雅视频的不法行为,易引发敲诈勒索、猥亵、强奸等严重侵犯财产和人身权利的犯罪。
网络安全公司白帽汇创始人赵武长期关注摄像头黑产,他此前接受新京报采访时提到,破解个人摄像头以窥私并出售私密视频牟利的情况,近几年才出现,这与个人摄像头的普及有关。现在很多人安装网络摄像头,监护家中的小孩、老人或宠物,或者当成家中安防工具。但大量摄像头存在容易被黑客入侵的安全漏洞。
赵武的团队曾向监管部门上传过一份报告,指出多款摄像头存在容易被攻击的安全漏洞。甚至有些厂商在生产摄像头过程中,已经预留了可以远程操控的后门。
2017年,原国家质检总局发布智能摄像头质量安全风险警示,相关部门采集摄像头样品40批次,经检测,32批次存在质量安全隐患,可能导致用户监控视频被泄露,或智能摄像头被恶意控制等,占比百分之八十。
新京报记者在调查中,得到一张卖家发来的卧室监控画面实时截图,画面上方有白色字体显示“密码过于简单,请立即到电脑端更换设备密码!”一位黑客在论坛中提到,“摄像头都有IP地址,需要密码才能看到监控录像,很多设备没有改默认密码,所以我们就可以随意监控他们了。老玩法了,没什么技术含量。”
今年5月份,新京报曝光了一些摄像头的云视通账号被出售的情况。“打包全网最低98元”,卖家发送过来的视频画面,被拍者正换衣服或赤身裸体。云视通客服称,系用户使用老版摄像头时未修改导致账号被盗取,用户可通过设置复杂密码、尽量避免放在涉及个人隐私位置等方式保护信息安全。
温州警方表示,侦查时发现,被入侵的摄像头账户密码都比较简单,比如连续的数字或英文字母,有些密码和用户名相同。警方提示,用户在使用摄像头时要加强防范意识,如最好修改原始密码,使用复杂的密码,尽量不要对床,睡觉时将摄像头挡住等。网络安全公司白帽汇创始人赵武认为,厂商也需要不断改进,提高安全系数。
破解、买卖摄像头账号行为涉嫌犯罪
新京报记者发现,除了售卖摄像头账号,也有人将一些私密、淫秽的画面录下来,有些用来宣传,有些直接售卖。在新京报记者调查中,一位卖家见记者迟迟不买,就发了一段12月9日晚上10点多,一对夫妻在卧室发生性关系的视频,并称还可以回放其他片段。
温州警方表示,此举涉嫌传播淫秽物品罪,具体需要根据数量和金额判定。在非法破解家用摄像头行为中,嫌疑人更多的是涉嫌非法获取计算机信息系统数据罪和非法控制计算机系统罪。
现实中,非法破解家用摄像头已有被判刑先例。12月20日上午,销售“千里眼”的男子张某被控提供、侵入非法控制计算机信息系统程序罪,在北京市朝阳法院受审并被判有期徒刑9个月并处罚金1万元。
根据指控,张某于2018年10月至2019年4月,多次在其搭建的网站“H客联盟”上向他人出售“千里眼”等程序,从中获利一万余元。经鉴定,“千里眼”是一款软件,它可通过“弱口令撞库”的方式,获取他人网络摄像头用户名和密码,具有远程控制网络摄像头的功能。
新京报记者在裁判文书网中注意到,12月11日,北京市朝阳区法院还判决了一起非法控制计算机信息系统案,被告人被指通过搭建“上帝之眼”“蓝眼睛”等APP,非法控制监控摄像头18万余个,并通过在网络上推广上述摄像头实时监控画面非法获利人民币89万余元,最终获刑5年。其同伙被以帮助信息网络犯罪活动罪,判处有期徒刑十个月,罚金人民币一万元。
随着警方不断破获黑客非法入侵居民家用摄像头案件,互联网上相关QQ群、贴吧被封了不少。一些卖家开始隐身于普通摄像头品牌贴吧,甚至有些人将品牌摄像头名称作为买卖隐私视频账号的群名。卖家越来越隐秘,有卖家在贴吧中发帖后,引导他人点击其主页才能看到联系方式,也有人在QQ签名中称某个群已封,要求他人加好友进新群。
新京报记者 赵朋乐
(图片由温州警方提供)