Verkada

美国联邦交易委员会（Federal Trade Commission，FTC）上周要求美国监控公司Verkada支付295万美元的罚款，以及必须制定与实施全面的信息安全计划，有不少媒体以为Verkada之所以受罚是因为Verkada在2021年被骇，曝露了15万台的监视器画面，不过，FTC处罚Verkada的原因是该公司乱发垃圾邮件。

Verkada为一云端监控公司，黑客则是在2021年3月入侵Verkada平台，存取了97家Verkada客户位于全球的15万台监视器的画面，包括特斯拉（Tesla）仓库及工厂的222个监视器，以及阿拉巴马州监狱的330个监视器。

随后Verkada解释，曝露于网络上的客户支持服务器有一个配置错误，黑客借由该错误进入服务器后发现了客户支持的管理凭证，再用它来登录客户支持界面，即可利用内部支持功能来存取客户的监视设备。Verkada强调，该公司有6,000家客户，受到危害的比例不到2%，此外，在得知监控画面曝光的两个小时内，Verkada就切断了黑客的存取权限。

FTC上周表示，将要求Verkada制定与实施全面的信息安全计划，以解决该公司未能采取适当信息安全实践的指控，此外，也将要求Verkada支付290万美元的罚款。不过，受罚原因是Verkada以大量电子邮件淹没潜在客户，而且没有提供取消订阅或退出的选项，也未能于电子邮件中提供实际的邮寄地址，违反美国的CAN-SPAM Act垃圾邮件法案。

Verkada也发表了声明，指出该公司并不同意FTC的指控，但接受FTC所提出的和解条款。

有趣的是，即使不管是FTC的新闻稿或Verkada的声明，都说Verkada并非因安全意外而受罚，但不少媒体都以为Verkada的受罚是因为安全措施不足，例如BleepingComputer或BankInfoSecurity。

此外，295万美元也是FTC迄今就CAN-SPAM Act违规行为所开发的最高罚单。