Till Kottmann, un hacker suizo que se atribuyó el mérito de ayudar a robar o distribuir datos de propiedad de Nissan Motor, Intel y la empresa de cámaras de seguridad Verkada, fue acusado por un gran jurado en el Distrito Occidental de Washington por intrusión informática y actividades de robo de identidad y datos, que abarcan desde 2019 hasta el presente.

“Robar credenciales y datos, y publicar código fuente e información confidencial en la web no es discurso protegido, es robo y fraude”, dijo la Fiscal Federal Interina, Tessa M. Gorman. “Estas acciones pueden aumentar las vulnerabilidades para todos, desde las grandes corporaciones hasta los consumidores individuales. Envolverse en un motivo supuestamente altruista no elimina el hedor criminal de tal intrusión, robo y fraude”, agregó.

En publicaciones en redes sociales y en un sitio web, Kottmann supuestamente compartió parte de la información y se atribuyó el mérito de las infracciones, según el documento.

Las fechas y descripciones en la acusación relacionada con dos de los presuntos ataques concuerdan con las declaraciones pasadas de Kottmann sobre Intel y Nissan.

Según la acusación formal, desde 2019, Till Kottmann y sus cómplices han hackeado decenas de empresas y entidades gubernamentales, y han publicado los datos privados de las víctimas de más de 100 entidades en la web.

Recomendado: Hackers acceden a más de 100 mil cámaras de vigilancia de hospitales, empresas y prisiones

Específicamente, la acusación formal alega que Kottmann utilizó una variedad de técnicas de hacking y se dirigió predominantemente a “git” y otros repositorios de código fuente que pertenecen a empresas privadas y entidades del sector público. 

Presuntamente, Kottmann clonó el código fuente, los archivos y otra información confidencial y patentada, que en ocasiones incluía credenciales administrativas codificadas, claves de acceso y otros medios de acceso adicionales al sistema o la red. Luego utilizó dichos medios de acceso para infiltrarse aún más en la infraestructura interna de las víctimas y copiar archivos, registros e información adicional.

Un grupo de hackers accedió a 150 mil transmisiones en vivo de cámaras de seguridad colocadas en hospitales, empresas, departamentos de policía, prisiones y escuelas de Estados Unidos y otros lugares del mundo.

Las videocámaras eran gestionadas por la empresa emergente de Silicon Valley Verkada Inc.

Tesla y la proveedora de software Cloudfare son algunas de las compañías cuyas grabaciones fueron expuestas. Los artífices del ataque aseguran que obtuvieron acceso a 222 cámaras en fábricas y almacenes de la empresa de automóviles eléctricos.

Los hackers también pudieron ver videos desde el interior de clínicas de salud para mujeres, hospitales psiquiátricos y las oficinas de Verkada.

Recomendamos: Biden planea venganza contra Rusia por hackeo de Solar Winds

Bloomberg tuvo acceso a videos de cámaras de vigilancia del hospital Halifax Health de Florida, de una línea de ensamblaje de una bodega de Tesla en Shanghai, de estaciones de policía, escuelas y cárceles.

La violación de datos fue realizada por el colectivo internacional de hackers “Advanced Persistent Threat 69420” con la intención de mostrar la omniprescencia de la videovigilancia y la facilidad con que se puede ingresar a los sistemas, señaló Tillie Kottmann, una integrante del grupo.

En el pasado, Kottmann se había atribuido el hackeo de los sistemas del fabricante de chips Intel Corp. y la automotriz japonesa Nissan Motor Corp.

Un portavoz de Verkada informó que desactivaron todas las cuentas internas de administrador para evitar cualquier acceso no autorizado. “Nuestro equipo de seguridad interno y la firma de seguridad externa están investigando la magnitud del asunto y hemos notificado a las autoridades”, detalló.

Una startup de vigilancia de Silicon Valley, llamada Verkada, ha sido acusada de sexismo y discriminación por haber utilizado su sistema de cámaras de seguridad y reconocimiento facial, para acosar a las empleadas de la compañía, informó el portal IPVM.

Según el informe, un director de Ventas de la compañía abusó de su acceso a las cámaras de vigilancia para tomar y publicar fotografías en un canal de Slack llamado #RawVerkadawgz, donde se hicieron bromas sexualmente explícitas sobre las mujeres que trabajaban en la compañía.

En el canal de Slack también se compartió una serie de fotos con los rostros de las empleadas que fueron capturadas usando la tecnología de reconocimiento facial de Verkada. Uno de los rostros que se compartió mostraba a una de las empleadas con la boca abierta, con un comentario adjunto del director de ventas que decía: “reconocimiento facial… búscame un squirt” (haciendo referencia a la eyaculación femenina).

Fiesta de empleados de Verkada en septiembre de 2020, donde se reportó que no se usaron mascarillas. Foto: Motherboard

En el mes de febrero, el canal de Slack fue reportado al departamento de Recursos Humanos de la empresa. Según el informe, el director Ejecutivo de Verkada optó por darles la opción a los involucrados de renunciar o aceptar una reducción de su sueldo. La mayoría de los involucrados tomaron la segunda opción y siguen trabajando actualmente en la compañía.

Posteriormente, The Verge solicitó un comentario a la compañía sobre el uso del sistema de vigilancia de la empresa para acosar a sus empleadas, a lo que un vocero respondió: “Verkada no tolera el acoso sexual o el comportamiento inapropiado. Este incidente aislado fue investigado y todas las personas involucradas fueron sancionadas en consecuencia. Este proceso incluyó a nuestro departamento de Recursos Humanos trabajando con las mujeres afectadas por este incidente”.

La compañía agregó que después del suceso también se realizaron capacitaciones obligatorias sobre acoso sexual a través de Zoom y estableció tres grupos de recursos para empleados, para mujeres, personas de color y empleados LBGTQ en la empresa.

Desde su fundación, Verkada ha tratado de distinguirse del sistema de vigilancia de Amazon Ring, con la promesa de no trabajar con agencias de policía, así como no vender los datos recopilados. Sin embargo, el canal de YouTube de Verkada anuncia que ha trabajado con el Departamento de Policía de Parkersburg, en Virginia Occidental. Otros de sus clientes incluyen a Juul Labs, Equinox y Red Lobster.