Le développeur de logiciels suisse Tillie Kottmann, qui a attiré l'attention en trouvant des failles de sécurité dans des applications mobiles et d'autres systèmes, a partagé des captures d'écran sur Twitter depuis l'intérieur d'un entrepôt de Tesla en Californie et d'une prison de l'Alabama. Kottmann a refusé d'identifier les autres membres du groupe.

Kottmann a déclaré qu'ils ont cherché à attirer l'attention sur la surveillance omniprésente des personnes après avoir trouvé des informations de connexion pour les outils administratifs de Verkada publiquement en ligne cette semaine. Verkada a reconnu une intrusion, disant qu'il avait désactivé tous les comptes des administrateurs internes pour empêcher tout accès non autorisé.

"Notre équipe de sécurité interne et notre société de sécurité externe enquêtent sur l'ampleur et la portée de ce problème, et nous avons averti les forces de l'ordre" et les clients, a déclaré la société.

Kottmann a déclaré que Verkada avait coupé l'accès des pirates quelques heures avant que Bloomberg ne signale la brèche, mardi. Le groupe de pirates, s'il avait choisi, aurait pu utiliser son contrôle sur l'équipement de la caméra pour accéder à d'autres parties des réseaux de la société Tesla et des fabricants de logiciels Cloudflare et Okta, selon Kottmann.

Cloudflare a déclaré que ses mesures de sécurité sont conçues pour empêcher qu'une petite fuite ne se transforme en une intrusion plus importante, et qu'aucune donnée de client n'a été affectée. "Le service Okta n'a pas été touché", précise la société Okta, qui continue à enquêter sur la situation et à "fournir des mises à jour au fur et à mesure que des informations supplémentaires pertinentes seront disponibles". 

Des milliers d'utilisateurs concernés

Une liste de comptes d'utilisateurs Verkada fournie par le groupe de piratage et vue par Reuters comprend des milliers d'organisations, dont la chaîne de gym Bay Club et la startup technologique de transport Virgin Hyperloop. L'agence n'a pas pu vérifier de manière indépendante l'authenticité de la liste ou des captures d'écran distribuées par Kottmann, mais elles comprenaient des données détaillées et correspondaient à d'autres documents de Verkada.

Verkada indique sur son site web qu'il compte plus de 5 200 clients, dont des villes, des collèges et des hôtels. Ses caméras sont devenues populaires parce qu'elles s'associent à des logiciels permettant de rechercher des personnes ou des objets spécifiques. Les utilisateurs peuvent accéder aux flux à distance par le biais du cloud.

Dans une interview accordée à Reuters en 2018, le directeur général Filip Kaliszan a déclaré que Verkada avait délibérément facilité pour de nombreux utilisateurs d'une organisation la possibilité de regarder des flux vidéo en direct et de les partager en toute sécurité, par exemple avec les intervenants d'urgence.

Verkada a levé 139 M$ en capital-risque, le dernier financement annoncé il y a un an évaluant la start-up de la Silicon Valley à 1,6 Md$.