部分海康威视监控设备被境外IP地址控制

作者:佚名 来源:观察者网 2015-02-28 472

 江苏省公安厅27日中午发布的特急通知称,海康威视生产的监控设备存在严重安全隐患,部分设备已经被境外IP地址控制,要求各地立即进行全面清查,并开展安全加固,消除安全漏洞。对此,海康威视相关人员表示,这是由于客户对初始密码未改导致的安全漏洞。

这份名为“关于立即对全省海康威视监控设备进行全面清查和安全加固的通知”的文件抬头为“江苏省公安厅”。

文件称,近期,江苏省各级公安机关使用的海康威视监控设备,“存在严重安全隐患”,“部分设备已经被境外IP地址控制”。据此,文件要求,“各地对使用的海康威视设备进行全面清查,并开展安全加固”。

上述文件的签批人为“赵明”。公开资料显示,赵明为江苏省公安厅科技处处长;科技处负责对社会公共安全行业、技术防范产品进行监督和管理。

部分海康威视监控设备被境外IP地址控制

海康威视是国内最大的综合安防监控企业

海康威视是国内最大的综合安防监控企业,其市值逾1200亿人民币,为当之无愧的安防产业龙头。据海康威视官方网站消息,该公司2014年度实现营业总收入172.33亿元,实现利润总额52.06亿元。2011-2013年间,连续蝉联全球视频监控企业第1位;2013年名列全球监控摄像机第1位,NVR第1位,DVR第1位,VMS平台管理软件第3位;2013年名列《A&S》全球安防50强第4位,中国第1位。

公安系统是海康威视的重要客户,其自称“公安视频建设和应用的先进者和探索者”。海康威视具有“平安城市”、“平安乡镇”等多套解决方案。2010年的招股说明书显示,海康威视参与建设的项目包括青岛市公安局的“平安城市”、嘉兴的城市监控、义乌交警动态取证、郑州的“平安城市”等。

观察者网查询,2015年1月21日,海康威视成功中标广西森林公安局监管联网平台;2015年1月6日,中标贵阳市公安交通管理局贵阳市高清视频监控平台二期项目品目一;2014年11月27日,海康威视刚刚中标福建福安市公安局监控设备和办公自动化设备采购项目……此外,该公司还与中国刑事警察学院、公安部天津消防研究所等单位签署了合作协议。在不久前召开的首届世界互联网大会上,海康威视负责了大会的安保监控工作。

部分海康威视监控设备被境外IP地址控制

不久前召开的首届世界互联网大会上,海康威视负责了大会的安保监控工作

中国证券网记者向公司求证时,海康威视相关人员表示,是由于客户对初始密码未改导致的安全漏洞。

海康威视董事会秘书郑一波在接受《第一财经日报》记者采访时也表示,“网上传播的消息基本属实,其实我们的设备在公网上太多,很多用户没有更改设备初始密码,这样容易遭到攻击。”

一位业内人士解释说,这个问题很像兴奋剂检测,测验手段永远落后于研发和服用手段,不仅仅是海康,国内其他类似的公司产品或也存在安全隐患。

另据报道互联网硬件行业新闻的雷锋网报道,海康威视副总裁、萤石CEO蒋海青告诉雷锋网,安全隐患是因为用户忘记改缺省密码,这件事情稍后会有具体公告。另一位海康威视高层称,此事已经处理了,他表示没有媒体标题那么吓人。

忘记改缺省密码,是监控设备最常见的安全隐患。和家用路由器一样,一般监控设备都有个后台管理系统,每家公司生产的设备,缺省的账号密码都相同。如果这个密码没有更改,则任何人都可以登录进去,控制系统。

部分海康威视监控设备被境外IP地址控制

网上流传的江苏省公安厅文件

有技术人士分析称,这次事故很可能是黑客进入江苏省公安体系内网,而相关运营人员并未修改缺省密码,所以才造成“部分设备被境外IP控制”的后果。业内皆知,海康威视绝大多数设备的缺省密码均为“1****”。

不过雷锋网了解到,海康威视此前亦曝光过多个漏洞,并有不少是弱密码漏洞、远程控制漏洞。第三方漏洞平台乌云显示,海康威视2015年已被提交4个漏洞;360旗下补天平台上,2015年有2个,均处于等待修复状态。

有分析人士指出,上述江苏省公安厅发布的文件的确存在,目前该文件已下发各地基层。从目前情况来看,问题可能出在软件方面。安防芯片现在因为涉密的缘 由,使用的进口零部件已经较少,而使用华为的居多。软件主要则是从海思和华为两家企业购入。海康威视在海思基础解决方案上自行开发模块。此次问题,有可能 是海康威视自身的问题概率较大,极有可能其它程序脚本问题。与此同时,业内对海康威视积怨已久,一则因其产品链长,问题较多,二则营销上大小通吃。“目前 矛头指向海康,但安防广泛应用于政府项目,后面估计要各个厂家都做测试。此事爆出可能并不单纯。”

部分海康威视监控设备被境外IP地址控制

微信扫一扫|长按识别,进入读者交流群