288元20个偷拍机位,摄像头、路由器可能正在监视你
“不敢再相信酒店了。”张良(化名)对记者说。
6月11日,张良和女友在下榻的石家庄某酒店中,发现电视机品牌标志位置一个小孔内有反光点。随后,在警方、酒店三方见证之下电视机被拆,一个摄像头赫然出现。摄像头机身还插着一个16G的内存卡。警方调取内存卡,内有多条私密视频。
张良的遭遇并非个例。记者调查发现,从录制到变现的偷拍视频买卖黑色产业链条逐渐浮出水面。一位从事该黑产的人士表示,只需288元,便可以得到8个酒店房间监控,12个家庭房间监控;某街拍网站更是有网友声称,可以20元一条的价格收购偷拍的女性裙底视频。
更可怕的是,一些物联网设备的漏洞,带来隐私泄露的风险。记者测试发现,20台某品牌摄像头中11台可以直接利用guest用户观看“视频直播”。有专业人士表示,路由器漏洞同样可能导致摄像头被控制。记者调查发现,另一品牌路由器更是“后门敞开”,密文密码被直接显示。
如何减少隐私泄露事件的发生?安全人士提醒,便携设备检测可以在一定程度上保障隐私安全,但也并非万无一失。
酒店发现偷拍摄像头,16G内存卡含大量私密视频
在警方的陪同下,张良看了自己发现的酒店摄像头内存卡里的内容,他紧握着的拳头和近乎拧在一起的眉头一刻也未曾松开。
今年6月,张良和女朋友一起到石家庄办事,下榻在飞猪上预订的石家庄市城市驿站快捷酒店广安街官鲤公寓店。
在和女朋友入住酒店一晚后,6月11日上午10点左右,电视机上的一个小孔引起了张良的注意。
“发现小孔之后,我用手机往里面照,发现里面有反光点。”这个反光点引起了张良的警觉。他拨通了海尔的客服电话,得到的回应是该款型号电视机商标位置并没有任何小孔。
随后张良报警。张良表示,他、酒店负责人和当时赶至的警察一起见证了电视机被打开的时刻,一个扁平状的长方形物体赫然映入眼帘。
据描述,这个扁平的偷窥摄像头长约七八厘米,宽约四五厘米,被黑色胶带紧紧缠绕。在该设备尾部,还存在一个长长的针状装置。
张良怀疑,那个针状的装置实际上是一个无线发射装置。“我从网上搜过偷拍摄像头,有和这个类似的,后面那个就是一个无线发射器,可以同步观看直播。”
据张良描述,该设备曾经被人改装过电路,和电视机共用一个插头。从整体看来,除了一个小孔暗藏摄像机外,与正常无异。在偷窥设备的机身上,张良还发现一个内存卡卡槽,里面插着一张16G的内存卡。
“里面含有大量私密视频,受害者不止我一个。”张良说。
记者从石家庄市公安局长安分局获悉,该局领导已经注意到此事,因案情正在调查之中不便回应。
如今,张良已同女朋友一起返回北京。不过,这场风波却在他心里笼罩上一层阴影。“不敢再相信酒店了。”张良对记者说,“我不可能每次住酒店都要去仔细检查酒店里是否存在摄像头。”
近期,已有多起服务行业的针孔摄像头偷拍事件被曝光。
6月15日,钟女士在深圳一家优衣库试衣时,发现试衣间藏有针孔摄像头,引发社会关注。新京报记者之后从深圳龙华警方获悉,涉嫌偷拍的嫌疑人已被警方抓获。优衣库方面回应称,该名嫌疑人非店内员工。
另据此前报道,在河南郑州,游客黄先生和女朋友入住当地的玉泰酒店,在房间的电视机下方意外发现,插座里竟然有一个针孔摄像头。6月23日,郑州警方针对玉泰酒店出现针孔摄像头一事进行案件通报,系一保险公司员工在网上购买偷拍设备,分次在该酒店房间安装设备后进行偷拍,经检查未发现偷拍视频外泄,目前已被刑拘。
288元买20个偷拍机位,包括酒店和家庭房间
事实上,张良发现的偷窥摄像头只是偷拍产业链的冰山一角。
“因摄像头导致隐私泄露的情况并不少见。”一位熟悉黑产的人士告诉记者,“所得私密视频主要通过买卖来变现。”
记者调查发现,目前黑市上流通的偷拍视频总体分两种,一种为人为安置的偷窥摄像头拍摄所得,另一种则为利用摄像头漏洞所得。
在网上,记者与一位昵称为“AAaaa专业破解”的QQ用户取得联系。该网友提供的一份价格表显示,“8个酒店房间监控,送12个家庭房间台,都是对床,活动体验价288元,仅限一天。”价格表底部还标注称,“支持任何设备,手机和电脑都可以操作。”
为了证明真实性,该网友还发送给记者一张酒店偷拍视频的闪照(QQ的一种功能,照片在对方阅完后便会自动删除),摄像头疑似被安装在酒店房间的天花板中,恰好可以看到床。
“摄像头带声音和回放功能。”他表示。
偷拍的背后,黑产人士一面偷窥他人隐私,另一面则在利用这些视频疯狂变现。
记者注意到,大量色情网站甚至已经将“摄像头”、“家庭”、“酒店”、“偷窥”等关键词设置为标签,方便用户浏览搜索。在某国际知名淫秽色情网站,记者通过搜索关键词“摄像头”得到1158个结果,搜索“酒店”得到1480个结果,“偷窥”得到19942个结果。
令人咋舌的是,目前偷拍已经“职业化”。据上述熟悉此黑产的人士透露,除了淫秽网站外,“一些街拍论坛也在从事私密素材买卖的交易。有的充值会员之后,在这些街拍论坛的会员板块便可以看到。”
7月3日,记者通过搜索关键词“街拍”,进入一家名为“街拍CN”的街拍网站。该网站号称“国内最好的街拍网”,并且“专注原创街拍第一站”。
在该网站的照片滚动窗口中,记者发现偶有裙底偷拍照片展示。该网站站务区一则名为“有偿征集原创作品”的帖子显示,原创街拍视频的作品价格在30元到200元不等。
通过该帖下方公布的联系方式,记者与一名昵称为“街拍中国”的QQ用户取得联系。“街拍中国”称,“街拍cd视频,20元每条起,要求2分钟以上。”
“街拍中国”提到的“cd”,即行话“抄底”的拼音首字母缩写,意思是偷拍的女性裙底视频。
EasyN摄像头存漏洞,部分可用guest账户登录观看
事实上,比人为安置偷窥摄像头更可怕的,则是摄像头本身存在漏洞。
新京报此前报道,部分摄像头的云视通账号被人出售,“打包全网最低98元”。新京报记者尝试15元购买了一个云视通账号,看到某家庭的私人生活被实时直播,而当事人毫不知情。云视通客服称,系用户使用老版摄像头时未修改密码导致账号被盗取。
存在问题的并非只有“云视通”。
记者利用“钟馗之眼”搜索关键词EasyN后显示,“找到约972750条结果用时1.153秒”。其中,中国的结果数量为132914条。
记者在搜索到的中国范围内的132914个结果中随机挑选了20台进行测试,其中有11台仅仅通过guest账号(guest账户为来宾账户,用户权限一般有限)和默认密码便可以登录观看“现场直播”。
7月7日,记者登录某EasyN摄像头后,看到一位身着黄色连衣裙女士的日常生活,甚至可以清晰听见她的脚步声。
一位安全圈人士指出,guest用户账号密码一般用户并不会去修改。也就是说,EasyN摄像头很容易造成隐私泄露事件。
商标EasyN的持有者为深圳市普顺达科技有限公司(简称“普顺达”)。工商资料显示,普顺达成立于2006年10月26日,注册资本1100万元。该公司经营范围为网络电子产品、电脑周边产品技术开发及销售;国内商业、物资供销业;货物及技术进出口。(以上均不含法律、行政法规、国务院决定规定需前置审批和禁止的项目);网络电子产品、电脑周边产品的生产。
7月5日下午,记者拨打普顺达官网上的联系方式,联系上该公司一位工程师。其表示,存在该款漏洞的产品系“好多年以前的产品”,“用户如果没有改guest和user的密码,是可以通过IP地址进入摄像机。”
上述工程师表示,“在2014年这个问题反馈出来后,我们向客户通知过,有提供升级固件和要求客户在网页修改密码。但由于部分产品是OEM出去的,部分用户未收到信息,所以存在这个问题。”“2015年后出货的摄像机,已经修改这个问题点。”该工程师强调。
除公共场所外,摄像头在智能家居中也扮演着重要的角色。不过,人们忙完一天躺在床上的时候,却想不到可能正被摄像头背后的一双双眼睛盯着。
2018年11月,360发布的《典型IoT设备网络安全分析报告》提示,与IoT设备相关的漏洞增长率比漏洞整体增长率高出14.7%。远程弱口令、预置后门、敏感信息泄露是IoT设备三大常见漏洞。报告显示,用户对IoT设备安全的担忧,排名居首的就是隐私泄露及盗窃,其次是人身安全、支付安全、病毒攻击和WiFi风险。
路由器漏洞同样可能导致摄像头被控制
值得注意的是,为隐私泄露埋下隐患的,不止是摄像头漏洞。“路由器漏洞同样有可能导致摄像头被控制。”一位安全圈专业人士告诉新京报记者。
知道创宇404实验室副总监隋刚向新京报记者介绍,“如果摄像头的传输协议是明文的,是可以抓到用户名和口令,同时拿到路由器的权限意味着打通了内网,通过其他工具加上用户名和密码,就可以控制了。”
“市场上相当一部分摄像头的传输协议是明文的。”隋刚称。
腾讯安全云鼎实验室发布的《2018年IoT安全威胁分析报告》显示,路由器、摄像头和智能电视是被攻击频率最高的三款IoT设备,占比分别达到45.47%、20.71%和7.61%。占据IoT设备攻击量将近一半的路由器,由于市场保有量巨大,一旦被爆出漏洞,极易引发大范围的攻击。
上述安全圈专业人士介绍,通过攻击路由器,不法分子不仅可以控制摄像头,还可以监控用户的网络行为。
早在2015年,便有网友在“吾爱破解”网站的“悬赏问答区”中提及飞鱼星路由器漏洞。帖子称“飞鱼星上网行为管理路由器可获取加密后的用户密码”,并提供了飞鱼星路由器的密文密码,悬赏50吾爱币寻求密码。
记者发现,时隔4年,部分飞鱼星路由器的密文密码仍然直接被显示,通过开源软件的密码字典便可以得到登录密码。
6月26日,安全人士佳伟(化名)通过Zoomeye搜索关键词“volans”(飞鱼星)共搜索到111393条结果,其中包含设备111056台,网站205个。
通过资料卡中的IP地址信息,安全人士佳伟随机进入一台路由器的登录页面,发现该路由器的密文密码被保存在网站的某个根目录下面,对访问并没有进行限制。也就是说,该路由器存在敏感文件泄露漏洞,可导致管理密文密码泄露。
由于存在敏感文件泄露漏洞,佳伟轻松获得一串密文密码。
“将该字符串导入目前常用的开源密码恢复工具后,借助密码字典,便可以得到这台路由器的密码。”白帽子于小葵(化名)告诉记者。
佳伟对钟馗之眼显示的前五页路由器进行了测试,前五页共包含100台路由器,其中90台为在线状态,十台为离线状态。测试发现,共有15条测试成功,获取密码的整个过程共花费了约十几秒。
“显示的字符串实际上是密文密码,理论上来讲,只要能得到密文密码这些路由器是可以破解的,只是密码字典的大小和时间问题。”白帽子于小葵说。
Zoomeye显示,在飞鱼星的客户中,中国以107593的数量成为榜首。从全球视角分布图来看,北京、上海、香港、成都、东莞、沈阳六个城市分布十分密集。
于小葵向记者表示,该路由器攻击门槛极低,但是隐患极大,管理密文密码直接显示无异于为黑客直接敞开了后门。“几乎不需要技术,初级黑客都可以登录路由器的后台。路由器下面的电脑全部通过路由器与互联网相连,存在极大的风险。”
安全谷(北京)科技有限公司经理菅弘向记者表示,路由器一旦被攻击,用户行为很容易被监控。“可以通过对WiFi攻击,入侵路由器之后,看到路由器下面所有的设备,也可以通过技术手段监控摄像头。”
除了偷窥你的摄像头,“他们(黑客们)可以通过抓包或者DNS劫持的方式监控用户的上网痕迹,或者篡改路由器上的DNS服务器IP,把DNS变成黑客的恶意DNS服务器。这样,当局域网内的用户访问网站时,用户的计算机就会解析别的IP进行挖矿、钓鱼攻击等行为。”于小葵说。
制造飞鱼星路由器的厂家为成都飞鱼星科技股份有限公司(简称飞鱼星)。该公司于2014年在新三板挂牌。
2018年9月,国家市场监督管理总局官网通报了路由器产品质量国家监督抽查结果。抽查发现,有3批次产品不符合标准的规定,涉及发热要求、电源端子传导骚扰电压项目,其中包括成都飞鱼星科技股份有限公司的无线路由器。
7月5日下午,记者将该漏洞测试过程向飞鱼星进行了提交,飞鱼星工作人员联系技术部门后表示,“当前确实存在此问题。”
那么,为何四年一直未对该漏洞进行修复呢?飞鱼星客服表示已将记者问题反馈到市场部。至截稿前,未获回应。
律师:处罚力度不足以震慑偷拍者
3月7日,公安部新闻发布会通报全国公安机关开展“净网2018”专项行动相关情况。
山东济宁市公安局网安支队支队长刘建介绍,不法分子在少数宾馆客房非法安装摄像头,偷拍宾馆房客,并在网上出售观看账号,已经形成黑色产业链。涉案主犯通过互联网购买智能摄像头后,拆下摄像头外壳改装成隐蔽摄像头,安装在宾馆吊灯、空调等隐蔽处,通过手机下载的智能摄像头APP软件收看隐蔽摄像头回传画面,同时将回传画面中的裸体、不雅等镜头截屏发给下线代理,下线代理通过微信、QQ群发布截屏,吸引网民购买摄像头观看账号。
在公安部统一指挥下,济宁公安机关在全国抓获犯罪嫌疑人29名,扣押作案用微型网络摄像头300余个,手机64部,银行卡56张,查获偷拍的酒店客房视频10万余部。
刘建表示,作为提供公共服务的酒店宾馆,应该加强安全管理,充分保护顾客个人隐私。公民一旦发现侵犯公民个人信息的违法犯罪行为,在保存相关证据的同时,要及时向公安机关报告,公安机关将依法予以严厉打击。
安全谷(北京)科技有限公司经理菅弘告诉记者,张良碰到的摄像头后面的针极有可能是一个天线。菅弘建议,可通过专门的便携仪器,通过红外线和激光来寻找反光点,从而识别摄像头。还可通过无线信号探测器锁定信号发射源来探测。不过,即便依靠设备,也并不能保证万无一失。“有的镜面物体会造成仪器误报。此外,一些无线传输摄像头有可能会伪装成WiFi信号或者其他波段的信号,被称为‘双信号伪装’,并不是十分容易发现。”
“不道德,更违法。”北京国旺律师事务所律师党占荣这样形容偷拍行为。
不过党占荣认为,在各种偷拍事件的司法实践中,存在一定难处。当这些偷拍视频进入到利益链中的时候,受害者甚至并不知情。“在司法实践中对类似这样的偷拍事件,消费者几乎没有防范能力,当前的各种针孔微型摄像头,在房间内一般很难发现。”
“此外,从目前的法律规定来看,在偷拍事件中,还停留在民事赔偿和行政处罚阶段,在刑事上很难去界定定性。因此在面对偷拍产业链巨大利润时,显然违法成本还是相对较低,处罚力度不足以震慑偷拍者。”党占荣表示。
菅弘表示,用户需要提高家居摄像头使用的安全意识。“家居摄像头一般与WiFi相连,用户可以通过手机远程观看。但很多普通用户对近些年兴起的家居摄像头根本不了解,大部分人都是基于操作级的。甚至许多用户使用的都是设备出厂时默认的用户名,根本没有修改。”
党占荣建议,如果遇到隐私被泄露了,受害者应首先进行报警,由警方调查取证,固定证据,其次受害者也可以对网络或者其他载体的照片、视频等隐私材料进行证据保全,查证隐私泄露的过程,最终确定相关泄露者,以便受害者将来进行维权。
(来源:新京报)
3万元买下30年权益,看上去很美的“分时度假”却预订不到酒店
“每年7晚或14晚,连续10-20年,只要加入会籍,就可以免费或缴纳少量服务费入住全球数千家高端度假酒店。”听上去是不是颇具诱惑力,让人忍不住想去“薅羊毛”?
一位消费者王先生告诉新京报贝壳财经记者,18年前,他在这样的宣传话术诱惑下,花费3万多元成为一家俱乐部的会员,获得长达30年的酒店入住权益。然而,这几年可供选择的酒店越来越少,品质也在不断下降,去年甚至出现了无法预订的情况。王先生想退出会籍,要求对方返还部分费用,却遭到拒绝。
购买长达30年的分时度假权益,订不上酒店要求退费被拒
2007年2月,王先生夫妇参加了一个旅游推介会,被告知成为环球度假俱乐部会员后,每年可“免费”入住五星级酒店。于是他花费3.46万元购买了2007年至2036年共30年、15个周次(每周次8天7晚)的分时度假权益。“根据规定,每两年可使用一个周次权益,即在权益酒店名单中任选一家免费入住。如果当年未使用,可以在3年内用于交换度假产品,但需缴纳交换费。”
王先生表示,当时与之签订合同的公司是北京阳光梦讯旅游投资顾问有限公司,是吾爱旅游度假产品开发(上海)有限公司(以下简称“吾爱旅游”)的授权合约销售商。这家公司现已注销,后期的收费和服务都由吾爱旅游执行。
除了一次性入会费,按照规定,王先生还须每两年缴纳一次维管费。“我从2009年一直交到2018年,大约共交了六七千元。”他使用过6次权益,入住过三亚鸿洲埃德瑞度假酒店、厦门宝龙铂尔曼酒店等。
据王先生介绍,他于去年9月多次提出预订权益酒店,但均被告知年底前已无酒店可预订。10月底,王先生认为吾爱旅游无法履行义务,提出解除协议,退还未使用的相关费用,约合2万多元。客服随后致电表示可以预订酒店。王先生感到非常气愤,认为吾爱旅游缺乏诚信,坚持解约退款,但被拒绝。
王先生表示,当时签订的合同中并未明确说明权益酒店的级别、数量、预订和交换规则、交换费等。此外,他还发现,吾爱旅游与他签订的合同期限是2007年至2036年,而签约时吾爱旅游的经营期限是2006年1月至2026年1月。
只有7家国内酒店供会员选择,携程预订价格在200元-500元之间
新京报贝壳财经记者以消费者身份致电吾爱旅游了解到,吾爱旅游是一家会员制度假酒店企业,在全球120多个国家或地区有5000多家度假村可供会员选择入住。据客服介绍,目前吾爱旅游已有10万会员,会籍从5年至30年不等,会员也分为不同级别,高级别会员能选择的酒店级别更高,范围更广。
企查查显示,吾爱旅游度假产品开发(上海)有限公司成立于2006年1月20日,注册资本为458.5595万元,经营范围包括旅游度假产品的开发、推广、管理及相关咨询、提供酒店订房服务等,目前的经营状态为存续。
一家国内注册的微型企业为何能拥有如此强大的酒店资源?客服告知,吾爱度假是7Across在中国地区唯一的办公室,7Across则是上市公司Travel + Leisure Co.旗下的品牌。公开资料显示,Travel+Leisure Co.是美国著名分时度假公司,前身是温德姆目的地有限公司(Wyndham Destinations)。
记者提出去公司官网了解具体情况。该客服表示,公司网站是全英文的,只有会员有权登录。根据王先生提供的2024年权益酒店介绍,目前只有7家国内酒店供会员选择,携程预订价格在200元至500元之间。
另据企查查风险提示,该企业共有61条裁判文书记录,案件总金额为16.55万元,企业作为被告的文书占比93.33%,包括31条服务合同纠纷案件,12条旅游合同纠纷案件,其中不乏消费者购买会员后因不满意服务要求解约退款的纠纷案件。
3月18日,记者就会员无法预订权益酒店、服务期限超过企业经营期限等问题致电吾爱旅游,一位自称为管理层的工作人员表示,公司与会员签署的合同均合法合规,要求会员本人直接来咨询,并以没有预约、未能证实记者身份为由拒绝接受采访。
最高人民法院出台预付式消费司法解释,将于5月1日起实施
分时度假作为一种旅游住宿模式,并不是新玩法。但近些年更多与预付费旅游模式相结合,包括各种旅行卡、度假卡、民宿卡以及俱乐部会籍等,再配合销售者的话术,充满诱惑力。然而,消费者一旦购买,往往会发现存在热门时间段约不上房、需补差价、霸王条款、酒店品质差以及售后服务跟不上等问题,并没有原先承诺的省心和顺畅。
“利用酒店淡旺季的需求落差,允许消费者购买或租赁酒店房间的特定时间段使用权,通常为一周。”一位旅游资深从业人士孙洋表示,运用分时度假模式需要强大的住宿资源作为支撑。他指出,国内部分企业做这种预付费住宿业务时过于轻敌,认为可以空手套白狼,他们或争取到某国际平台经营权,或与本土住宿企业合作,以为找到几家民宿、酒店就能做分时度假平台。“初衷也许是好的,但由于客户、住宿资源和渠道不稳定,人工成本超过预期,一旦资金链断裂,无法提供售后服务,消费者就会发现踩雷了。”
一位陈姓消费者告诉记者,他曾在2022年花费3000元购买过一张民宿卡,使用期为两年,可以随时预订京津冀的近百家民宿。“我是自由职业者,头半年预约的确很划算,但到2023年就几乎订不到民宿了。”他表示,因为觉得前期住得也够本了,就没再追究,“但听说有其他购卡者在找商家维权。”
北京京知律师事务所主任、中国消费者协会律师团律师杨乃超表示,这类预售旅游服务属于预付式消费,有助于商家快速收拢资金,也给消费者提供了足够的优惠,但也存在诸多不规范现象。他指出,近年来,司法机关在打击预付式消费欺诈、违约、侵害消费者合法权益等方面的力度不断加强,比如最高人民法院出台了《关于审理预付式消费民事纠纷案件适用法律若干问题的解释》,将于2025年5月1日起实施。“该司法解释明确了消费者在哪些情况下可解除合同,获得退款,包括承诺在合同约定期限内提供不限次数服务却不能正常提供等。”
他还表示,预付式消费合同通常都是格式合同,商家往往会利用签约过程中的优势地位,订立权利义务不平等或对商家权利义务约定不明确的“霸王条款”。杨乃超建议,消费者购买这种预付会员权益、旅游卡、住宿卡等产品和服务时,应当注意经营者的经营情况、消费者口碑等情况,在签订合同时,要注意将服务质量约定具体。在遇到问题时,要积极维权,可以通过消费者权益保护协会、相关行业协会、司法机关等途径维护自身合法权益。
新京报贝壳财经记者 曲筱艺
编辑 陈莉
校对 卢茜
相关问答
我想用玉清宫不知道效果怎么样_千问健康
我想用玉清宫不知道效果怎么样_千问健康
