偶酷网新闻移动版

　　北京、浙江两起浮出水面的摄像头入侵黑产案件中，卖家和黑客均因涉嫌违反《刑法》第285条被批捕，该条共计三项罪名“非法侵入计算机信息系统罪”“非法获取计算机信息系统数据、非法控制计算机信息系统数据”“提供侵入、非法控制计算机信息系统的程序、工具罪”，最高刑期七年。

　　此外，《刑法》第283条规定，非法生产、销售专用间谍器材或窃听、窃照专用器材的，据情节严重程度处七年以下有期徒刑。

　　对于公民隐私被侵犯的民事法律救济渠道，依据《侵权责任法》，受害者可提起隐私权侵权民事诉讼，要求入侵黑客和买家停止侵害、删除被录制的视频图片等，并要求相应赔偿。如果摄像头软件运营者和网络服务提供商未及时采取补救措施，亦可能承担连带责任或损失扩大的赔偿责任。如果产品本身有严重缺陷导致此类问题，还可按照《侵权责任法》《产品质量法》《消费者权益保护法》直接追究生产者责任。

　　不过，一些企业不愿承认风险的存在。一家致力于C端摄像头市场的公司告诉《财经》记者，他们不认为市场上的摄像头安全问题有多严重，舆论热议是因为与其他智能硬件相比，摄像头出现安全风险更吸引眼球。他们通过客服反馈渠道显示，并未发现其摄像头产品出现严重安全事故。

　　事实可能是，受害者未必知道自己的隐私正被直播和贩卖。《财经》记者检索，尚未发现因隐私被监控泄露而提起侵权诉讼的案例。

　　被侵权人往往并不知情，即便发现隐私被侵犯后报案动力亦不足，因而监控黑产暴露在执法者视野中的只是冰山一角。

　　王冀归案时虽被查获破解摄像头ID 1万余个，然而警方尚无法通过画面和地址确定受害人，这成为该案侦办最大难点之一。而对于DDoS攻击或破解入侵平台等犯罪来说，由于成本高昂、耗时长，警方更难追溯到上游黑客。

　　一家旗下平台有大量智能摄像头账号流入黑产的厂家市场人士告诉《财经》记者，已发布通知愿意配合受害者维权，但截至目前未接到任何用户维权求助。

　　当下，仍有大量摄像头账号和密码在网络上贩卖。受“水滴直播”事件影响后，林晓等卖家对《财经》记者称并不担心警方关注，“只抓酒店偷装摄像头的和做软件的，肯定不抓我们这些卖的。”

　　不过，进入2017年12月后，随着网络安全公司360因对公共场合提供摄像头直播功能引发隐私失控焦虑，摄像头黑产问题也进入执法者视野。多个QQ群都闻风而动，含有“摄像头”、“影视”等相关字眼的群或解散、或改名。“最近风声紧，摄像头被盯上了，过段时间再说。”林晓说。

　　多位受访者认为，利益驱动之下网络黑产将长期存在，而刑法打击则具有滞后性，侦破难度大、用户维权难的现状将长期困扰执法者。

　　这一现状之下，被称为安防业红海的市场如何破局安全短板，是厂商、用户、监管部门需要共同面临的难点。

　　下篇：攻防持久战

　　一位世界排名前五的智能摄像头生产厂商安全总监坦言，尽管其所在企业在安防方面投入巨大，但随着全球针对物联网设备的攻击趋势愈发严峻，他们在智能摄像头市场受到的黑客攻击和安防压力并不小。

　　2016年国家信息安全漏洞共享平台（CNVD）公开收录的1117个物联网设备漏洞影响设备的类型中，网络摄像头、路由器、手机设备漏洞数量，分别占公开收录漏洞总数的10.1%、9.4%、4.7%，网络摄像头漏洞数排名第一。

　　漏洞从何而来

　　当前，监控摄像头安全隐患主要有三类：生产端的粗放生产、云端和集中管理平台的网络安全防护脆弱、应用端弱口令问题。

　　公安部第三研究所检测中心常务副主任鲍逸明告诉《财经》记者，目前被黑客攻击最多、最易导致黑产泛滥的原因，是弱口令问题。弱口令，指摄像头出厂设置时各端口所用账号密码为默认设置或无密码。

　　黑客使用密码字典批量破解扫描账号口令十分简单，国家互联网应急中心高级工程师高胜表示，这是一种极为低级的入侵方式。

　　极光大数据显示，搭配智能摄像头使用的头部应用中，萤石云视频（海康威视旗下）、云视通、有看头（Yoosee）和360智能摄像机安装量分别为858万、263万、229万和211万。

　　《财经》记者在多个黑产群中发现，有不少贩卖“云视通”和“有看头”两款应用上的摄像头卖家，甚至有专门针对这两款应用的黑产群。卖家发来的账户密码多为“123”等简单密码。“有看头”运营商深圳技威时代科技有限公司（下称“技威时代”）市场经理杨卫回应《财经》记者称，2017年6月以来确已发现这一现象并进行自查，流入黑产原因是用户未更改设备默认密码“123”，被破解利用。

　　杨卫表示，技威时代主营业务为APP平台开发和技术支持服务，并不从事摄像机成品生产和销售，因此遭黑产利用的不是其旗下产品，已对技威体系内的所有厂家客户下发整改通知，督促各自代理商、渠道商更改密码，并在后续产品上采取强密码。但就存量市场而言，弱密码现象依然存在，尚无法根除。

　　在高胜看来，诸多安全隐患中弱口令问题最易解决，只需厂家编写强密码设置要求，用户及时更改密码便可避免。但为何当下许多智能摄像头产品仍存在这一问题？

　　一位安防企业安全总监给出的解释是：“很多厂商眼里，C端摄像头的竞争还处在市场初期规模扩张阶段，用户体验的竞争还处在使用便捷、价格便宜的维度上，尚未把安全当作重要竞争纬度，用户本身也并不重视。一些厂商便放纵了弱口令等安全隐患的存在。”

　　许多智能摄像头厂商为方便用户或厂商自行管理，有统一网络监控管理平台，这意味着，若管理平台防护能力低，被黑客攻破便可查看所有使用这个管理平台的摄像机画面。

　　404实验室在过去几年发现过大量监控摄像头的安全漏洞，几乎涉及所有摄像头领域的知名厂商。在2017年一年，至少监测到5家厂商爆出的严重安全漏洞，涉及的摄像头数量从几万到几十万不等。最为严重的情况是，他们监测到一家安防企业的几十个监控视频集中管理平台曾被黑客拿下，而每个管理平台都涉及海量摄像头的监控画面。

　　上述安防企业安全总监则对《财经》记者称，“这很常见”，他给出的解决方案是，使用加密信息传输，即便黑客攻破平台也无法读取数据。

　　据国家互联网应急中心观测到的数据，政府、高校及行业单位正陆续建立一些与交通、环境、能源、校园管理相关的智能监控平台，这些智能监控平台漏洞占比达到1.9%。这一占比较低，不过一旦被黑客攻击，遭到泄露的敏感监控视频就可能包括国防安全信息、金融交易信息、商业办公机密等。