由明文密碼驅動的AI煤礦安全攝像頭網路
安全研究員發現印度“數字煤礦”專案中的AI攝像頭系統存在嚴重安全漏洞,包括明文密碼洩露和身份驗證繞過。
安全研究員Eaton在持續探索關鍵基礎設施漏洞的過程中,發現了印度“數字煤礦”(Project DigiCoal)專案中的一個嚴重安全問題。該專案旨在透過AI技術現代化印度煤礦的安全監控,但其中由DeepSight AI Labs開發的“RPI儀表盤”卻存在令人擔憂的弱點。
該儀表盤用於管理煤礦的AI視覺監控系統,能夠整合現有閉路電視裝置並檢測異常。然而,Eaton發現其“get_users”API無需任何認證即可訪問,並返回所有使用者的列表,其中包含明文密碼。更糟糕的是,這些密碼非常弱且多個賬戶共享同一密碼,甚至Chrome瀏覽器都警告密碼強度不足。即使不利用密碼,攻擊者也可以透過修改瀏覽器本地儲存中的訪問角色值來偽造登入,從而獲得系統訪問許可權。
成功登入後,攻擊者可以檢視“警報儀表盤”,監控七個煤礦的所有攝像頭畫面。該系統配置用於監測多種違規行為,包括車輛檢測、入侵以及未佩戴個人防護裝備(PPE)。攻擊者可以檢視即時警報和錄影,雖然不會直接導致災難性後果,但暴露了敏感資訊並可能被惡意利用。
Eaton於2025年8月22日向印度計算機應急響應小組(CERT-IN)報告了這一漏洞。經過數次跟進——9月16日、10月16日、11月17日他分別詢問更新,CERT-IN均回應正在與相關當局採取適當行動——最終於2025年11月18日,CERT-IN確認漏洞已被修復。這一事件再次凸顯了關鍵基礎設施中AI應用的安全實踐需要加強,尤其是密碼管理和API訪問控制等基本安全問題。