ZIZOO.PL
Przywykliśmy do tego, że kamery i monitoring pojawiają się w różnych miejscach. Taksówkach, autobusach, budynkach, garażach, aptekach, a nawet osiedlowych sklepach. I większość osób nie ma z kamerami problemu, bo zakłada że do nagrań sięga się tylko “po przestępstwie”. Aby sprawdzić kto coś zniszczył, ukradł, napadł. A co, gdybyśmy Wam powiedzieli, że klientów Żabki obserwować mógł każdy?
Ah, ten monitoring…
Wiemy z własnych obserwacji, że instalowanie systemów monitoringu w wielu miejscach w Polsce jest beztroskie. Rejestratory często są montowane w publicznie dostępnych miejscach, co naraża je na atak fizyczny. A jak są schowane, to dostęp do nich nierzadko odbywa się po sieci Wi-Fi (rozgłaszanej z routera podłączonego wprost do rejestratora), przy czym nazwa sieci jest tak nieprzewidywalna jak np. “kamery“.
Bywa też, że rejestrator jest podłączony do internetu, a dostęp do niego jest możliwy od strony sieci publicznej przez każdego, jeśli nie zadbano o odpowiednią konfigurację… Z kronikarskiego obowiązku musimy tu jednak dodać uwagę techniczną: uzyskanie dostępu do profesjonalnego monitoringu wymaga odpowiedniej aplikacji. Trzeba w niej podać adres IP, port, login i hasło. Ale problem w tym, że porty często są standardowe, loginy często są domyślne (w rodzaju “user” lub “admin”), a hasła często bywają bardzo oczywiste (np. adres1234) bądź łatwe do “wyliczenia”.
Czy podglądania tak źle skonfigurowanych instalacji monitoringu wizyjnego może być problemem? Opowiemy o tym na dwóch przykładach.
Monitoring w tajemniczej Żabce
W zeszły poniedziałek jeden z naszych Czytelników dał nam znać, że monitoring pewnego sklepu “Żabka” jest dostępny publicznie na określonym numerze IP, z loginem “admin” i bardzo, bardzo prostym hasłem. Dostęp był możliwy przez jedną z dostępnych na rynku aplikacji do sterowania kamerami i uzyskiwania podglądu.
Sprawdziliśmy i rzeczywiście, mogliśmy śledzić co dzieje się w tym sklepie. Żabka udostępniała nie tylko kamerę sklepową, można było też podglądać zaplecze oraz teren przed sklepem.
Chcieliśmy pomóc i zgłosić ten problem do Żabki, ale problem był taki, że nie wiedzieliśmy, która z licznych Żabek ma ten problem. A jak wiecie, Żabek są miliony! Geolokalizacja po adresie IP była akurat w tym przypadku wysoce nieprzydatna.
Nie chcesz, abyśmy patrzyli przez Twoje kamery, prawda?
Pomimo braku informacji na temat lokalizacji sklepu, zgłosiliśmy problem firmie Żabka Polska S.A. i przy okazji zadaliśmy kilka pytań. Chcieliśmy wiedzieć m.in. czy sklepy mają zapewnione jakieś wsparcie i standardy w kwestii monitoringu, bo ta instalacja wyglądała naprawdę nieprofesjonalnie.
Gdzie ta Żabka?
Czekając na odpowiedzi od Żabki, postanowiliśmy zrobić sobie wewnątrzredakcyjne ćwiczenie OSINT-owe i spróbować zlokalizować tę Żabkę. Okazało się to jednym z ciekawszych przypadków lokalizowania miejsca po zdjęciu. Ale po kolei!
Samochody parkujące przy problemowej Żabce miały w zdecydowanej większości rejestracje “DW” oraz “DX”. Czyli Wrocław? Tak sądziliśmy i szukaliśmy w stolicy Dolnego Śląska. Przejrzeć wszystkie możliwe Żabki “ręcznie” na Google Maps to mission impossible. Powstają jak grzyby po deszczu, więc nie każda na mapach będzie. Przejrzeliśmy wiele wrocławskich Żabek i przekonaliśmy się, że mogą być nawet 4 Żabki na jednej ulicy…
Jak zatem zawęzić obszar poszukiwań?
- Wzór bruku był raczej nietypowy dla Wrocławia (ustaliliśmy jego wykonawcę nawiasem mówiąc, ale początkowo nic to nie dało)
- Miejsce było położone raczej w centrum miasta, ale rotacja na miejscach parkingowych sugerowała znacznie lżejszy ruch niż w mieście wojewódzkim.
Pod tą Żabką widać było też auta z rejestracjami “DOL” (Oleśnica), a niektóre auta parkujące pod sklepem na stałe miały przeglądy rejestracyjne robione w Oleśnicy.
Wersja dwudniowa:
Wersja jednodniowa (skrócona, tylko najważniejsze techniki i narzędzia):
Rozszerzyliśmy więc obszar poszukiwań na tereny położone na północny zachód od Wrocławia. To nadal bardzo dużo Żabek więc musieliśmy zagłębić się w szczegóły. W kadrze kamery przy wejściu w tle widać fontannę, skwer i charakterystyczny budynek:
Sprawdziliśmy dla pewności wrocławskie fontanny i Żabki w ich okolicach. Mieliśmy już pewność, że to nie Wrocław.
AI na ratunek!
Jedna z trenerek naszego szkolenia z OSINT-u – Julia – wpadła na pomysł, aby usunąć cyfry ze stopklatki i w ten sposób uzyskać coś, co stało się “bardziej wyszukiwalne”.
Bingo! To jest Syców i okolice skrzyżowania ulic Jana Pawła II i Alei Wojska Polskiego. Niech żyje wyszukiwanie (lekko oczyszczonym AI-em obrazem).
Fontanna jest, skwer jest, natomiast na Street View ostatnie zdjęcia są z roku 2025 i nie widać na nich takiego samego bruku i układu miejsc parkingowych. Inny jest też kolor elewacji, czyli całe to miejsce zostało stosunkowo niedawno przebudowane. No cóż. Z artykułów w prasie lokalnej wynika, że wygląd tego skweru był tematem gorących debat w Sycowie. W każdym razie Żabkę udało się namierzyć bez rozwiązania ostatecznego — wrzucenia zdjęcia na nasze sociale i zapytanie Was o pomoc ;)
Wersja dwudniowa:
Wersja jednodniowa (skrócona, tylko najważniejsze techniki i narzędzia):
Lokalizację przekazaliśmy firmie Żabka w środę 28 stycznia, ale dopiero 30 stycznia pod koniec dnia dostęp do monitoringu został poprawnie skonfigurowany (czyt. zablokowany). Firma Żabka Polska przekazała nam też odpowiedzi na nasze pytania zadane tydzień temu, wraz z pierwszym zgłoszeniem (tym bez lokalizacji). O ile spodziewaliśmy się, że odpowiedzialność za monitoring może spoczywać na franczyzobiorcach, to byliśmy ciekawi, czy sieć sklepów jakkolwiek wspiera ich w działaniach z tym związanych np. przekazując “dobre praktyki”. Okazało się że tak, ale że “zdarzają się incydentalne błędy”:
dziękujemy za przekazanie nam zgłoszenia w tej sprawie (…) po uzyskaniu informacji o nieprawidłowościach niezwłocznie zweryfikowaliśmy sytuację w tej placówce i udzieliliśmy franczyzobiorcy dodatkowego wsparcia w zabezpieczeniu dostępu do monitoringu (…) [M]onitoring wizyjny funkcjonujący w sklepach Żabka należy do franczyzobiorców prowadzących dane placówki, którzy są także administratorami danych osobowych zebranych za ich pośrednictwem. Oznacza to, że franczyzobiorca samodzielnie decyduje o celu i sposobie przetwarzania danych osobowych oraz zastosowanych zabezpieczeniach, ponosząc w tym obszarze odpowiedzialność za działania własne oraz osób przez siebie zatrudnionych.
Jako sieć Żabka wspieramy naszych partnerów merytorycznie w należytym wypełnianiu obowiązków wynikających z instalacji monitoringu (…) udostępniamy również dla naszych franczyzobiorców materiały edukacyjne na platformie intranetowej, które szczegółowo przypominają o zasadach rejestrowania obrazu oraz wynikających z tego obowiązkach prawnych. (…) [W]szystkie placówki naszej sieci objęte są rygorystycznymi wytycznymi dotyczącymi autoryzacji i zabezpieczania systemów monitoringu. (…) Obecnie każdy nowy obiekt jest obligatoryjnie obejmowany najnowszym standardem zabezpieczeń IT już na etapie uruchomienia, a w pozostałych punktach prowadzimy proces sukcesywnego wdrażania tych rozwiązań (…) Zdajemy sobie sprawę, że mimo rygorystycznych procedur, przy tak dużej skali operacyjnej zawsze może dojść do incydentalnych błędów ludzkich, dlatego do każdego takiego sygnału podchodzimy z najwyższą powagą, reagując niezwłocznie, aby utrzymać najwyższy poziom bezpieczeństwa we wszystkich naszych placówkach.
Tymczasem gdzieś w Polsce…
Kiedy namierzaliśmy Żabkę, nasz inny czytelnik zgłosił nam taką oto rzecz:
To jest rejestrator systemu monitoringu dostępny w publicznie dostępnym miejscu. Klucze pozostawiono w szafce, co zdecydowanie nie jest dobrym pomysłem. Akurat w tym przypadku wiedzieliśmy dokładnie jakiego parkingu dotyczy ten problem.
Zgłosiliśmy problem firmie Interparking i musimy przyznać, że choć bardzo szybko odpisał nam Data Protection & Security Officer (DPSO) z firmy Interparking (co nas zaskoczyło, bo zwykle osoby na stanowiskach IOD nie reagują szybko, a podane do nich kontakty często nie są aktualne) to nie otrzymaliśmy niestety żadnego oficjalnego komentarza od firmy.
Podczas następnej wizyty na parkingach tej firmy popatrzcie, czy problem został rozwiązany.
Monitoring — co jeszcze może pójść nie tak?
O problemach związanych z monitoringiem postanowiliśmy porozmawiać z Melchiorem Macurą, który tego typu systemy wykonuje i nadzoruje.
— Najczęstsze problemy jakie napotykam związane są z często niską jakością samego montażu urządzeń, (…) Okablowanie budynku jest często niezabezpieczone i pozostaje na „wolnym powietrzu” (…) PoE wody nie wybacza i w efekcie mamy utratę łączności z urządzeniem czyli obniżenie ochrony obiektu poprzez brak obrazu z danej kamery). O możliwości „dzikiego podpięcia się do kabla sieciowego” nie wspominając.
Poza warstwą fizyczną, specjaliści montujący i serwisujący tego typu systemy trafiają też na ciekawsze problemy, które wynikają z pewnego niezrozumienia natury urządzeń sieciowych.
—Kwestia wpięcia instalacji CCTV do istniejącej sieci firmowej to czasami jazda bez trzymanki (“proszę Pana my tu pod ladą mamy router WiFi i w sumie to tyle”). Dużym problemem jest też brak zrozumienia jak realizowany jest podgląd zdalny kamer przez aplikację. Klienci nie rozróżniają że często mamy możliwość korzystania z podglądu z kamer poprzez chmurę producenta albo poprzez zewnętrzne IP (oraz wad i korzyści obydwu rozwiązań). Ostatnim z częstych problemów jest częsty brak ustandaryzowanego obiegu haseł oraz uprawnień (kto jest administratorem, czy instalator tylko instaluje i przekazuje system pod opiekę komuś innemu, czy jest również jego administratorem / konserwatorem), kto powinien mieć dostęp do hasła root? Często jeśli trzeba przejąć instalację, to w grę wchodzi czasem skomplikowana procedura odzyskania hasła, bo klient nie wie, że jego hasło którym się posługuje nie daje jednak pełnej władzy nad systemem, a osoba która instalowała system i może takim hasłem dysponować rozpłynęła się w powietrzu.
Melchior Macura mówi też, że klienci na uwagi dotyczące zabezpieczeń CCTV reagują różnie.
— O ile świadomość co do bezpieczeństwa urządzeń takich jak PC/smartfon rośnie (między innymi dzięki Wam) to w przypadku systemów CCTV tej świadomości raczej nie ma. Klient często nie wie, że taki rejestrator może posłużyć jako „furtka do czyjej sieci” albo że może być obserwowany przez kogoś z drugiego końca świata siedzącego przed komputerem.
Administruję monitoringiem. Co robić? Jak żyć?
Porady jakie można dać operatorom monitoringu są w tym przypadku bardzo oczywiste, ale podsumujmy je dla porządku:
- Jeśli to możliwe, nie trzymaj rejestratora monitoringu w publicznie dostępnym miejscu. Bo może się okazać, że kiedy będziesz potrzebował pobrać nagranie jakiegoś incydentu, to ani nagrania ani rejestratora nie będzie
- Jeśli rejestrator musi być w publicznym miejscu, dostęp do niego powinien być utrudniony, a nie ułatwiony.
- Rozważ czy dostęp do monitoringu od strony publicznego internetu jest niezbędny. Jeśli nie, wyłącz go. Jeśli jest potrzebny, skonsultuj się z profesjonalną firmą, która potrafi skonfigurować dostęp po VPN tak, żeby pierwszy lepszy szperacz shodanowy nie namierzył Twojej instalacji. Zweryfikuj też, czy urządzenie nie przesyła strumienia wideo do chmury producenta — to może być nie tylko błąd bezpieczeństwa ale też naruszenie RODO.
- Aktualizuj oprogramowanie infrastruktury monitoringu, i rejestratora i kamer, albo upewnij się, że serwis to robi.
- Ustal mocne loginy i hasła, także do sieci Wi-Fi rozgłaszanej lokalnie przez router, jeśli w ten sposób uzyskujesz dostęp do rejestratora
Tyle zwykle wystarczy. Choć trzeba przyznać, że osoby nietechniczne — jeśli same biorą się za instalacje monitoringi “ze szwagrem” — to mogą nie podołać.
Dlatego następnym razem wybierając się do Żabki albo na parking albo w dowolne inne miejsce z monitoringiem wizyjnym, miejcie świadomość, że jeśli instalacja CCTV była realizowana w trybie “my ze szwagrem”, to nie tylko wlaściciel Żabki (i bank ;P) może wiedzieć, że kupujecie małpkę czy tam hot-doga o 6:30 w drodze do pracy. Albo co chowaliście do bagażnika na parkingu…
A gdybyście przypadkiem uzyskali dostęp do jakiegoś feeda z kamery i nie wiedzieli gdzie jest znajduje się monitorowane miejsce, to polecamy się Waszej uwadze…
English (US) · 
Polish (PL) ·