臺監視器無防護 賣場、ATM畫面任人看

有民眾揭露，家樂福安平店的賣場監視器疑似因未更改預設密碼，使監視器畫面外流，甚至被駭客作為攻擊他人電腦的跳板；而彰化福興工業區內的銀行ATM監視器畫面也有外流情形，恐損害民眾權益。

民眾孫先生向《大紀元時報》表示，他的私人網路連續一週遭到駭客攻擊，試圖透過SMB（伺服器訊息區）漏洞與他的電腦連結，疑似是為了植入病毒；他利用對方IP位址反向搜尋後，竟出現家樂福安平店賣場內的監視器畫面，顯示該監視器已被駭客當作跳板。根據監視器畫面顯示，該監視器使用的是威海系統公司的E-Vizion數位監控系統。

孫先生在網路上搜尋後發現，還有其他使用該系統的監視器畫面也一覽無遺，包含較敏感的「銀行ATM」。他指出，位於彰化福興工業區內加興企業旁的華南銀行ATM就是其中之一，民眾領多少錢都看的一清二楚；由於這些監視器與外部網路連結，只要用預設密碼登入公用網站，就能看到全部有開啟共用帳號權限的監視器畫面，毫無任何防護。

業者：已處理 無資安疑慮

對此，家樂福南區公關經理表示，得知消息後已立即進行斷電處理並拆除，清查後確認店內其他監視器並未出現類似問題，由於該監視器是首次委託廠商安裝，事發後已將所有監視器都改為自行監管，目前沒有資安疑慮。而華南銀行彰化分行則說，經總行查證後，華南銀行ATM的監視器並沒有連結外部網路，因此沒有畫面外流的情形。

而監控系統服務商威海公司表示，被駭是網路資通安全的問題，與監視器系統本身無關，因為預設的共用帳號密碼都是開放的，若使用者本身在第一次使用後未更改密碼，只要知道IP大家都能看到畫面，就像一般的Wi-Fi分享器，若沒有設定密碼，大家也都能使用。此外，威海指出，這套系統2014年就已停產、不再提供軟體更新。

工程師：密碼太簡單易成目標

苗栗一家積體電路（IC）設計大廠鄭姓工程師向《大紀元時報》表示，一般企業可能認為監視器畫面本身並不重要、不上鎖也沒關係，或是怕更改密碼後容易忘記而維持預設密碼，但通常就是因為這個沒關係而變成跳板，讓真正有心的駭客作為攻擊我國重要民生設施網路伺服器的工具，且會在多個監視器間不斷跳轉，「你會看到所有攻擊你的都是監視器」。

鄭姓工程師坦言，一般駭客在練習時，通常會自行架設目標伺服器，但也有人會為了證明自己的能力而對他人發動真正的攻擊，何況監視器預設密碼並非機密，在網路上搜尋目標監視器的說明書就能找到，甚至有網站專門整理出未上鎖、使用預設密碼或密碼簡單容易破解的監視器清單。

專家：高階監視器宛如小型電腦

國內上市監視器公司前大數據分析工程師接受《大紀元時報》採訪時說，監視器畫面外流是很重大的漏洞，正常來說只有公司內部的安全部門可以看到，若發生在銀行就是重大瑕疵，可能是在網路防火牆端、監視器設備端沒有做好防護。而SMB就是網路芳鄰，是微軟專屬的功能，因此，可說是駭客針對微軟Windows系統植入木馬程式攻擊的前置作業。

他指出，駭客發動攻擊不外乎是為了商業利益，但通常會利用具人臉辨識功能等較高階的智慧型監視器，因為低階監視器對駭客來說，除了偷窺以外不能做任何事，而高階監視器內建作業系統，宛如一臺小型電腦，才能進行植入後門程式等操作；也就是說，有辦法利用低階監視器進行攻擊的人，只有晶片製造商本身，而目前全球最大的晶片製造產業就在中國。

不過，他也認為，如果利用IP反向搜尋看到監視器畫面，並不能證明一定是監視器被作為跳板，也有可能是其他電腦中毒。他解釋，企業的設備要連網須有一個公有IP，而這個IP後面可能有很多設備連線，「IP就像一間房子的門牌號碼，可能有很多人住在同一間房子裡，但不是所有住在裡面的人都是壞人」。

至於該如何防護，他建議，可從網路防火牆著手、使用封閉式網路，只要不發出網路連線訊號，資料就不會回傳；但相對來說，對於需要與公用網路連線的監視器就有風險，例如國道監視器、全臺景點即時影像、國道電子收費系統等，「如果在臺灣能直接看到，在中國就一定也可以看到」。◇