全球逾 4 萬監控攝影機「裸奔」上網！不想被看光第一件事該做什麼？

更新於 06月23日11:01 • 發布於 06月23日03:01 • LC

監控攝影機可能成為暴露現代人隱私的最大威脅。資安研究機構 Bitsight 團隊最新調查發現，全球有超過 40,000 台監控攝影機處於完全開放狀態，任何人只需要一個網頁瀏覽器和正確的 IP 位址，就能即時觀看這些攝影機的畫面。

這些設備曝光範圍驚人，從家庭安全攝影機、嬰兒監視器，到辦公室監控系統、醫療機構設備，甚至是工廠內部的製造流程監控，都可能成為陌生人窺探的目標。

美國被曝光攝影機居全球之冠，約 14,000 台；其次為日本、奧地利、捷克和南韓，反映了物聯網設備在部署和管理上的系統性失敗。更令人憂心的是，Bitsight 團隊早在 2023 年就曾對此問題發出警告，然而根據最新研究顯示，情況不僅沒有改善，反而持續惡化。

居家物聯網裝置成最大資安漏洞

這起資安事件最令人震驚的特點在於，它並非需要艱深的駭客技術，而是任何具備基本網路知識的人都可以做到。Bitsight 安全研究科學家 João Cruz 指出，沒有密碼保護，沒有任何防護措施，這些攝影機就這樣暴露在網路上。要存取這些攝影機畫面，既不需要菁英級的駭客技能，也不需要昂貴的軟體工具，僅需一般的網頁瀏覽器和有效的 IP 位址即可。

這種易取得性使得問題更加嚴重，研究團隊甚至在暗網上發現被曝光的影像。在暗網上，有人不僅跟大家分享如何找到這些攝影機，甚至還販售即時畫面的存取權限。暴露的畫面內容從看似無害的鳥類餵食器監控，延伸到極度敏感的場景，包括住宅大門口、客廳內部、辦公室白板上的機密資訊、工廠製造機密，甚至是資料中心的營運狀況。

Bitsight 研究團隊透過掃描網路上使用 HTTP（網頁）和 RTSP（串流）協定的攝影機，系統性地找出了那些沒有密碼保護、任何人都能直接存取的監控設備。而「全球有超過 40,000 台監控攝影機處於完全開放狀態」這個數字可能只是冰山一角，當居家物聯網設備高度普及化，任何人都能購買、插電後立即開始串流，這種便利性正是造成資安漏洞持續存在的根本原因。

安全責任需要業者與用戶共同承擔

深度分析這些攝影機的共通問題，可以發現幾個關鍵的安全漏洞。首先是使用者基本設定錯誤，包括未更改預設的使用者名稱和密碼、開放的網路存取渠道，以及過時未更新的韌體。許多攝影機製造商為了簡化安裝流程，往往採用弱化或公開已知的預設憑證，而使用者往往忽略或根本不知道要更改這些被廠商預設好的設定。

且大部分使用者都認為這些監控設備僅供內部網路使用，未意識到在不當設定下，這些設備實際上已暴露於公共網路環境中。開放的 HTTP 和 RTSP 使得攝影機畫面可以直接透過網際網路存取，而缺乏適當的防火牆保護或 VPN 限制，更加劇了這種風險。

此外，遠端存取功能的不當啟用也是常見問題，許多使用者在不需要遠端監控功能的情況下，仍然沒有關閉這些功能，無形中增加了被攻擊風險。

可能進一步成為攻擊企業內部系統的跳板

面對如此廣泛的資安漏洞，解決方案需要製造商、使用者和企業組織的共同努力。

製造商方面應該承擔更多的資安責任，包括強制使用者在初次設定時更改預設密碼、實施自動安全更新機制、提供更清楚的安全設定指示，以及規範使用者設定更高的安全門檻。也就是在產品設計階段就應該將「安全優先」納入考量，而非將安全性視為可選的附加功能。

對於一般使用者而言，基本的防護措施不可或缺。第一件事就要更改所有預設的使用者名稱和密碼，設定強且獨特的登入憑證，定期檢查並安裝韌體更新，以及仔細檢視遠端存取設定。如果不需要遠端監控功能，應該完全停用相關服務。使用者也應該定期從外部網路測試攝影機的可存取性，確保未經授權的外部存取被適當阻擋。

企業用戶的責任更加重大，需要將監控攝影機納入整體資安策略的一環。這意味著實施嚴格的防火牆規則，要求透過 VPN 進行遠端存取，建立異常登入的警示系統，以及定期進行安全掃描以識別潛在的暴露風險。企業還應該建立明確的攝影機管理政策，包括定期的安全評估、權限管理。監控攝影機一旦被駭客控制，不僅可能洩露敏感資訊，更可能成為進一步攻擊企業內部系統的跳板。