遭駭的監控公司Verkada被判罰295萬美元

美國聯邦交易委員會（Federal Trade Commission，FTC）上周要求美國監控公司Verkada支付295萬美元的罰款，以及必須制定與實施全面的資訊安全計畫，有不少媒體以為Verkada之所以受罰是因為Verkada在2021年被駭，曝露了15萬臺的監視器畫面，不過，FTC處罰Verkada的原因是該公司亂發垃圾郵件。

Verkada為一雲端監控公司，駭客則是在2021年3月入侵Verkada平臺，存取了97家Verkada客戶位於全球的15萬臺監視器的畫面，包括特斯拉（Tesla）倉庫及工廠的222個監視器，以及阿拉巴馬州監獄的330個監視器。

隨後Verkada解釋，曝露於網路上的客戶支援伺服器有一個配置錯誤，駭客藉由該錯誤進入伺服器後發現了客戶支援的管理憑證，再用它來登入客戶支援介面，即可利用內部支援功能來存取客戶的監視裝置。Verkada強調，該公司有6,000家客戶，受到危害的比例不到2%，此外，在得知監控畫面曝光的兩個小時內，Verkada就切斷了駭客的存取權限。

FTC上周表示，將要求Verkada制定與實施全面的資訊安全計畫，以解決該公司未能採取適當資訊安全實踐的指控，此外，也將要求Verkada支付290萬美元的罰款。不過，受罰原因是Verkada以大量電子郵件淹沒潛在客戶，而且沒有提供取消訂閱或退出的選項，也未能於電子郵件中提供實際的郵寄地址，違反美國的CAN-SPAM Act垃圾郵件法案。

Verkada也發表了聲明，指出該公司並不同意FTC的指控，但接受FTC所提出的和解條款。

有趣的是，即使不管是FTC的新聞稿或Verkada的聲明，都說Verkada並非因安全意外而受罰，但不少媒體都以為Verkada的受罰是因為安全措施不足，例如BleepingComputer或BankInfoSecurity。

此外，295萬美元也是FTC迄今就CAN-SPAM Act違規行為所開發的最高罰單。