21 786 domowych kamer dostępnych bez hasła. Rosnące ryzyko bezpieczeństwa IoT - Security Bez Tabu

21 786 domowych kamer dostępnych bez hasła. Rosnące ryzyko bezpieczeństwa IoT

Cybersecurity news

Wprowadzenie do problemu / definicja

Ekspozycja kamer IP i rejestratorów bezpośrednio do internetu pozostaje jednym z najpoważniejszych, a jednocześnie najczęściej lekceważonych problemów bezpieczeństwa IoT. W praktyce chodzi o urządzenia, które odpowiadają na połączenia z sieci publicznej i w skrajnych przypadkach udostępniają obraz na żywo bez logowania, kontroli dostępu i wiedzy właściciela.

Taka konfiguracja oznacza nie tylko naruszenie prywatności, ale również otwarcie dodatkowej powierzchni ataku. Publicznie dostępne kamery mogą zostać wykorzystane do rekonesansu, prób przejęcia urządzenia, ataków botnetowych oraz dalszej penetracji sieci domowej lub firmowej.

W skrócie

Badanie opisane w czerwcu 2026 roku wykazało, że w publicznie dostępnych indeksach urządzeń internetowych widocznych było ponad 3 miliony kamer i rejestratorów dostępnych z internetu. Spośród nich 21 786 urządzeń transmitowało obraz na żywo bez jakiegokolwiek uwierzytelnienia.

  • problem dotyczył głównie tanich urządzeń i starszego oprogramowania,
  • często występował w usługach RTSP oraz budżetowych rejestratorach,
  • w wielu przypadkach nie było potrzeby wykorzystywania exploita ani obchodzenia zabezpieczeń,
  • ryzyko obejmuje zarówno użytkowników domowych, jak i środowiska firmowe.

Kontekst / historia

Rynek monitoringu konsumenckiego rozwijał się przez lata szybciej niż standardy bezpieczeństwa. Wielu producentów koncentrowało się na łatwości zdalnego dostępu, a nie na bezpiecznym modelu publikacji usług. W efekcie do sieci trafiały urządzenia z uproszczoną konfiguracją, przestarzałym firmware oraz słabymi mechanizmami uwierzytelniania.

Problem ten nie jest nowy. Już w 2016 roku botnet Mirai pokazał, jak łatwo masowo przejmować urządzenia IoT wykorzystujące domyślne lub słabe dane logowania. Choć część producentów od tego czasu wdrożyła obowiązkową zmianę hasła przy pierwszym uruchomieniu, ogromna baza starszego sprzętu nadal pozostaje aktywna.

Dodatkowym czynnikiem ryzyka jest nieświadoma ekspozycja usług. Kamery i rejestratory często trafiają do internetu nie na skutek świadomej decyzji administratora, lecz przez błędną konfigurację routera, aktywne UPnP, przekierowanie portów albo pozostawienie włączonego zdalnego dostępu po instalacji.

Analiza techniczna

Najważniejszy wniosek techniczny jest prosty: w wielu przypadkach nie trzeba było „włamywać się” do urządzenia. Wystarczało odnaleźć host dostępny publicznie i połączyć się z usługą strumieniowania obrazu. Oznacza to, że głównym źródłem zagrożenia była błędna ekspozycja usług, a nie zaawansowane wykorzystanie podatności.

Szczególnie istotną rolę odgrywał protokół RTSP, powszechnie używany do przesyłania obrazu z kamer i rejestratorów. Sam protokół nie zapewnia bezpieczeństwa, jeśli wdrożenie nie wymusza uwierzytelniania lub jeśli usługa pozostaje dostępna publicznie bez ograniczeń. W takim scenariuszu RTSP staje się otwartym kanałem transmisji.

Z analizy wynika również, że problem częściej dotyczył segmentu budżetowego niż największych producentów, którzy od lat wdrażają bezpieczniejszy onboarding urządzeń. Podwyższone ryzyko obserwowano także w starszych aplikacjach do publikacji obrazu, co pokazuje, że słabym ogniwem bywa nie tylko sama kamera, ale również oprogramowanie pośredniczące.

  • ręczne przekierowanie portów z routera do kamery lub rejestratora,
  • automatyczne wystawianie usług przez UPnP,
  • pozostawienie aktywnego zdalnego dostępu po instalacji,
  • brak segmentacji między urządzeniami IoT a siecią lokalną,
  • korzystanie ze sprzętu bez bieżącego wsparcia producenta.

W praktyce użytkownik może nie mieć świadomości, że urządzenie jest widoczne publicznie. Aplikacja mobilna działa poprawnie, obraz jest dostępny, więc konfiguracja wydaje się prawidłowa. Tymczasem kamera może odpowiadać na żądania z całego internetu.

Konsekwencje / ryzyko

Najbardziej oczywistym skutkiem jest utrata prywatności. Nieuprawnione osoby mogą obserwować wnętrza domów, biur, sklepów, magazynów czy recepcji bez pozostawiania śladów typowych dla klasycznego włamania do systemu.

Drugim poziomem zagrożenia jest rekonesans operacyjny. Obraz z kamery pozwala ustalić harmonogram obecności mieszkańców lub pracowników, rozmieszczenie zabezpieczeń, układ pomieszczeń, typ wykorzystywanego sprzętu czy trasy poruszania się po obiekcie. To cenna informacja dla przestępców planujących działania fizyczne lub cybernetyczne.

Trzecia warstwa dotyczy bezpieczeństwa całej infrastruktury. Urządzenie dostępne z internetu może stać się celem prób logowania domyślnymi hasłami, ataków brute force, wykorzystania znanych podatności RCE albo włączenia do botnetu. Nawet jeśli strumień jest otwarty jedynie do odczytu, kamera nadal może stanowić przyczółek do dalszej aktywności w sieci.

W środowiskach firmowych konsekwencje są jeszcze poważniejsze. Kamera lub rejestrator często działa w tej samej sieci co stacje robocze, systemy POS, drukarki, serwery NAS czy elementy automatyki. Słabo zabezpieczone IoT może więc obniżać poziom ochrony całej organizacji.

Rekomendacje

Choć podstawowe zasady ochrony są dobrze znane, wciąż nie są stosowane konsekwentnie. Zarówno użytkownicy indywidualni, jak i organizacje powinny wdrożyć kilka kluczowych działań.

  • ustawić silne i unikalne hasła dla każdej kamery, rejestratora i aplikacji zarządzającej,
  • wyłączyć bezpośrednią ekspozycję urządzeń do internetu i korzystać z VPN lub kontrolowanego dostępu pośredniego,
  • wyłączyć UPnP na routerach brzegowych,
  • ograniczyć lub dezaktywować RTSP, jeśli nie jest niezbędny,
  • regularnie aktualizować firmware, aplikacje VMS oraz urządzenia sieciowe,
  • segmentować sieć IoT i odseparować monitoring od systemów produkcyjnych i stacji użytkowników,
  • prowadzić okresowe audyty ekspozycji usług i inwentaryzację urządzeń,
  • wymieniać sprzęt bez wsparcia producenta,
  • wybierać dostawców stosujących bezpieczny proces pierwszej konfiguracji.

Znaczenie mają również regulacje. W różnych jurysdykcjach rośnie nacisk na eliminowanie uniwersalnych haseł domyślnych i wdrażanie rozsądnych zabezpieczeń w urządzeniach konsumenckich. To jednak nie rozwiązuje problemu już działających, starszych instalacji, które nadal pozostają podatne na błędną ekspozycję.

Podsumowanie

Przypadek 21 786 kamer dostępnych bez hasła pokazuje, że w obszarze IoT największym zagrożeniem nadal bywa nie wyrafinowany exploit, lecz podstawowa nieprawidłowa konfiguracja. Otwarty strumień wideo to jednocześnie incydent prywatności, źródło danych rozpoznawczych i potencjalny punkt wejścia do dalszych ataków.

Dla użytkowników domowych oznacza to konieczność sprawdzenia, czy kamera nie została wystawiona bezpośrednio do internetu. Dla firm to wyraźny sygnał, że monitoring wizyjny powinien być traktowany jak pełnoprawny element cyberbezpieczeństwa, wymagający kontroli ekspozycji, aktualizacji, segmentacji i regularnego audytu.

Źródła

  1. Security Affairs – 21,786 Home Cameras, No Password, No Warning
    https://securityaffairs.com/193536/hacking/21786-home-cameras-no-password-no-warning.html
  2. GOV.UK – Regulations: consumer connectable product security
    https://www.gov.uk/guidance/regulations-consumer-connectable-product-security
  3. GOV.UK – New laws to protect consumers from cyber criminals come into force in the UK
    https://www.gov.uk/government/news/new-laws-to-protect-consumers-from-cyber-criminals-come-into-force-in-the-uk
  4. NCSC – Smart devices: new law helps citizens to stay secure online
    https://www.ncsc.gov.uk/sites/default/files/pdfs/blog/smart-devices-law.pdf
  5. California SB-327 reference material – Privacy and the Internet of Things
    https://www.phila.gov/media/20190724192915/Day-1-Session-1_Privacy-and-the-Internet-of-Things-McCreary.pdf