Hackers Globally Attacking Dahua Recorders

Author: IPVM Team, Published on Sep 25, 2017

Dahua recorders are being hacked and vandalized around the world, as confirmed by dozens of reports to IPVM since the attacks surged 5 days ago.

Key points:

  • If you have Dahua recorders and you port forwarded it (as they unfortunately recommend), check your recorders immediately for impact.
  • Disable port forwarding immediately and block public access to these recorders.
  • Try to upgrade firmware, if possible for your units, though Dahua regularly had challenges distributing firmware for various models and partners.
  • If you have one of the many Dahua OEM recorders (e.g., ADT who we have confirmed multiple reports), disable port forwarding and contact your manufacturer.
  • Dahua has still not made any public statement, continuing a trend of poor communication.

Inside, we share full details of the reports we have and the technical elements / vulnerabilities behind this.

***** ********* *** ***** ****** *** ********** ****** *** *****, as ********* ** ****** ** ******* ** **** ***** *** attacks ****** * **** ***.

*** ******:

  • ** *** **** ***** ********* *** ******* ********* ** (** **** ************* *********), ***** **** ********* *********** *** ******.
  • ******* **** ********** *********** *** ***** ****** ****** ** ***** recorders.
  • *** ** ******* ********, ** ******** *** **** *****, ****** Dahua ********* *** ********** ************ ******** *** ******* ****** *** partners.
  • ** *** **** *** ** ******* ***** *** *********(*.*., *** *** ** **** ********* ******** *******), ******* **** forwarding *** ******* **** ************.
  • ***** *** ***** *** **** *** ****** *********, ********** * trend ** **** *************.

******, ** ***** **** ******* ** *** ******* ** **** and *** ********* ******** / *************** ****** ****.

[***************]

Hacked ********

***** ** ****** **** *** *** ***** ********* ** **** and ****** ** ****** ******, ****** ******* **** **** ***** images **** *** ****** *** ******* "****** *, ****** *, etc." ** **** ****** ****:

*** ***** **** ** *****, ** *** ****** ******* *** exposure ** *********** **** / ***** *** *** ***** *****, as ***** ***** *****:

*** ***** ** **** **** ****** **** **** ********* ***** **** ** *** ******* ****:

Victims ******* ****

***** *** *** ****** *** ********** ** ***** *****, ********* ****** ** ***** ******** ****** ** **** ****. ****** ******* ** **** *** ***** ******** ** '***** hack' **** * ~***% ***** ***** ******* *** *** **** week:

Sample *******

**** *** ******** ******** ******* *** ********* ***** ******* ****** the ******** *********:

* **** **** ** *** **** *** *** *** *** that *** **** **** * ****** *** **** ******* *** unbranded **** **** ******** ******. ***** *** **** ******* *** the ****.********** ******* ** * **** *** ********.

**** ******* ****** *** *** ****** **** ** *** **** channels *** ****** *** ****** ** **** **** **** **. There **** ******* **** ** ***** *******, ******* *******, *** channel ****.

* *** * ****** ***** *** ** ** ** ****** 0900 ******* **** ******* ** **** ** *** ** **** sites ***'* **** ******* **** * ***** * **** ****** and ***** *** *** **** ******* ****, ** **** "******." By **** ******* **** *** ***** *** ***** **** **** with *** **** *****.

******* * ****** ****** ****** ** *** **** ** ************* *** ******* "******" ** *** *** ****** ******. * went **** ** ***** ***** *** ****** ** **, *** indeed ** *** **** ******. ***** ** **** ***** * get * **** **** ** *** **-******... *** *** **** showed ******, **** ******. *** **** *** ****** ****, **** **** *** ******* that ****** *** ****** ** ** *****, *** *** ****** names **** ******* ** ****** *, ****** *, ****** * and ****** *. ** **** ***** ******* *** *** ******** changed, *** **** ***** *** *********.

** ******* *** **** *** "******." * ************* ********** *** **** ******* ** ***** *** *********** ** assistance ***** **** ******** ** ** ***** ***** ******** *** bulletins ****** ***** **** ** ** **** ** ** *********. They ****** ******* ** **** ** ** ***** **** ** say **** *** ********* *** ****'* *** **** **** ***** to ***.

** ******* *********** *********** ******* ******* **** *** ***** *****:

** *** **** *** ****, **** ** * **** ****** attack ** *** ******* ******* ***blocked ****** *,*** ***** ********* ****, only from our channel, over *** ***** between September 19 and 21, regarding Dahua Hackerati recorders. [emphasis IPVM]

*** * ***** ***** ******* ****** * ******** ****:

** ***** ******* *** ****.

*** **** ******** **** ***** ******* ******** ****** ******** **** Dahua ********** **** *** ****** *** *****:

* *** **** ** *** ***** **** **** * ****** who ******* ****:

* ******* ** *** ** *** *** ********* ***** ** look ** *** ***, ***** **** *** ***** **** ******* 888888 *** ******** *** *** ********.

The ****** *******

***** ********* **** **** * ******* '******' ******* ***** ** only ******** ** **** *******. *******, ********* ** ******** ********** bashis, *** ********** ** ********* ** *** ****** ** ***** to *** ******** ** **** ** *** ****** *** *** the ********. **** ***** **** * ********* ****** ***** ** formed ** *** *** ****** *******, *** **** *** ******** it ** *****, **** ** ** ** ******* ** **** a ****** *******.

** ******* **** **** '******' ******* *** **** ***** ** newer ***** ********* *** ***** ** **** ** ************* **** is *******, **** ** ** *** ******* *** *** **** models ** *** **** *******.

***** ******* *** ****** ****** ** ********* ********** ************ ***** **** ***** **** ************* ** *****:

Technical ********

******** ** *** ***** ******* '******' *******, *** ******** ****** to **** *****, *** *** *** ******* ******** ******* ******** to **** **** *** ** ******. ***** **** ***-******* ***** passwords **** ******** ***** ** ***** *******. ** * ****** of *****, ***** **** ******* ****** ********* ********, ************ ** the **** ** *** ******.

***** ** *** ****** *** ********** ********* ** ******* ******** as ********, **** ***** ** ** ** ********* ******, **** victims ****** ** ****** **** ****** ** ******* *****. *** attack ******* ******** ** ********* ******* ** **** *** ***** black, *** **** *** ***** ******** *****, ** **** *** user *** ** *** ******. **** ***** *** ******* ******* to************ ******, ********** ** **** ********* ** *** ******* **** security, *** ****** ** ********** ** ****** ** ** * botnet.

Dahua **** ***************

***** *** *** * ****** ** ******** *************** ** ********. Dahua ******* *** ********* ****** ******** ******** ****, ******* ** **** ** *** ******* **** ******* on ******* **** (***** **** ******* ********** ** * ****** ** *****).

**** *** ******** ** ********' ***** ******** *********** ***** ****. **** ************ *** ********, **** ** ****, ******* **** ** **** **** *****'* **** ******** **************. A***** ****** ******** **************** ********** ** **** ****, ****** ** ***** ******** ** this **** **** **** (***). ******** *************** **** **** **** found ** *****'****-*********-**********, ****************** *********,****-***** ***** ****** **** ********,***** ******** ******,*********** ************** ****** ***-**-***-****** ******.

Vote / ****

Dahua ******** / ****** *******

***** *** ****** * ***** ******* ** ******** ** ***** attacks ********* ******* **, "***** *** ******** ****** ************* ***********". *** ***** *** *** ********* ***** ********* *:

*** ********* ******** ** ****: ***** ***** '*******' ************* *** Dahua's *** ********* / ****. *** *** ***** ******* ** implies **** **** ** **** ******* ***** ****** *********** ************* but **** ****** ** * ***** ****** **** ***** ********* to **** ***** ******* *** *** *********. ********, *** ******* tries ** ***** *** ******* ** ******* ********* *** *** critical ******* ** *****'* *** ************* **** ******* ****** ********* to **** ***** ****** ** **** *** ***** ********* **** the '***** ****' ******** *******.

Comments (163)

*** ****** ** **** ** **** ******* **** ***** ************ the ********* ** ****** ***** ****** ***** **** **** ********* longer **** *****. ******** *** ***** ******* **** **** ** explain *** **** ** *********, *** **** *********** ***** ********, and **** **** ********* ***** *******.

*** ****** **** *** ******* *** ** '******' ** ******* when *** *** *** **** ** *********** ****** *** **** response ********** *****'* ********* ****.

**** ****** **** ** *** **** ****** ***** * ***** ago *** *** *** ****! *** * ***** ** ******* no *** ** *** ******** ***** ***** ****** ********. ***** I *** **** ***** ** *** *****.

*** ****** ** **** ** **** ******* **** ***** ************ the ********* ** ****** ***** ****** ***** **** **** ********* longer **** *****. ******** *** ***** ******* **** **** ** explain *** **** ** *********, *** **** *********** ***** ********, and **** **** ********* ***** *******.

******* ****** ***** ***** ***** **** *** ****, **** **** love ** **** **** **** ** *** ****。

********* **** ************ *** *****

** ***** ***** ******

** **** ********* **** ***** **** **** ******** ******

** ***** ***** ******

** **** ********* **** ***** **** **** ******** ******

* ** ****** ** **** ***** ***** ********* ****** ** the ****** ******* *** ************* ***** ********. *** **** ** different **** ***** ** ***** ******** ***, ** ***** ************* absorb ***** *****, * ***** *** **** ****** * ****** in ******** *** **** ** ******* ***/** ********** ****** ** cover ****.

*********: “** ******* ******** ** ** ******* **** ********* ** ****** * * **** *** ***** ******* **. ** *** #*”

*****: “**** ** ****.”

*******

* **** ** **** **** *** **** ** ******** ****** any ******** **** ***** ******* **** ** ***** **** **** they ******** ***** ** ******* ******** *** ***** ***** ***** security.

* **** ** **** **** *** **** ** ******** ****** any ******** **** *****

**, ******** ******** ** * *****; *** **** * *** ****** ** make (*** *** **** ******* ************), *** ********* **** *** ultimate ********* **** **** ***** ***** *** ** *** **** that **** **** ****** ** ****** ******** *****.

** * *** *** ****. * *** ******* ** ***** have **** **** *** ***** ** **** *** **** *** because ** *** **** *** ******* **** ******** *** **** had **** ****** ** **** *** ********. ***, ***** ***** spin ** *** *** *** ***** **. * ***** **** like ** *** *** ************* *** *** *** ******* ****** releasing *** ***** ********.

**** ******** ******** ***** *** (*** *********** *********), *** * don't **** *** *** ** ** ********* ******** ***/** ******.

* **** ** ** *********** *** ********* ** **** **** of ********, *** **** *** ** ******** ********.

***** *** *** ** ********* ******, **'* **** **** *-**** - *** * ***, *** *** ****** **** *********. (***** boring ** *** **** *** ** ** *****)

**** ** *******, **** ******** ************ ****** ********* ** ******* any ********, ***** **** ***** ** ****** **** *** **** towards ******** *******.

*******, **** ***** ****** * *** **** **** ****** *****, and * **** ****** ***** **** **** ******* *** ******* like ******, **********, ***********, **********.. ***. *** ********** **** ** heap. (******)

** *** ******* ** **** ******** ***** *** ** **** towards *** ***** ***, * ***** ******* ******* ** ****** and *** ** *** **** **** ****** ****...

***** *** *** ** ********* ******...

* ******* ***** ****** **** **** ******* *****.

**** ** *******...

***, *** **** **** ** ***** *** **** :)

**** **** *** ************ **** ***** ********* ** *****? *** many ******* *** **** **** *** ***** *** ******* **** all ***** ******** ******? **** *** ** ** ********* ***** reputation *** ********* ***** ****** ****.

******* ** * **** **** ***** **** **** ***** ******. They **** **** ** **** ***** *** **** ** *** and **** ******* * ***** ****. ****? **** ****? ****'* a ***** *** ***!

******* **** ****** ** ******* ** ****** *** ************

******* **** ****** ** ******* ** ****** *** ************

************* *** **** ** **** **** **** ************* *** *** ones *** *** ***** ** *** *** *** *** *******.

**** ***** *** *** ******* ****** ************* (***** *** *********) are ** **** ** *************, ** ***** ** **** **** attractive. **** ** ******* + **** ******* = *** ****** for *******.

**** ** ****. *** ** ******** *** ************* **** ** pay ****** ********* ** ****, ** **** ** **** **** products **** ** ****. ** ***** ******* ******* ** *** some ****** **** ******** ********.

***** **** *****:

** ****

***** ** ***** **** *****. ** *** ********* *** ******* firmware *** *** *** ******** ***** ****** ** ***** ****** next *********. ****** *** *** ********* **** ** ****** ** you **** **** ******** *******. *** * *** *** ***** between ****** *** ****. **** **** ****** ** ***** **** issue.

**** *******

****

*** *** ***** ******** ** ******* **** *** ******* ***** own *****

******* *** ******** ** *** ****

*** **** *** ********* ** ******* ****

** ** ********* *** ** ** *** ** *** ******** a ******* ****** ** *** ******* *** /***

***** ***** ***** ** **** * ******** ***

** *** ******** *** * ****** *** **** * ***** dvr ** * *** **** ****

**** **** ** ****** ******* ******* **** ** ********* *** 2 ****** ***

*** *** ****** **** **********

***

******* ***** ** ** ******* ***** ******

*** **** **** **** *** ****

** **** ***; *** ** **** ***********? *** ************, *** distributor ** *** *********?

* ***** **** *'* ****** **, *** ** ** *** in ** *** ***** ****** *******?

* ***** **** *'* ****** **, *** ** ** *** in ** *** ***** ****** *******?

*****-****** *********** *** ***** ******** **********, ** **** **** ***'* be ***** ** *** $* *** * $** *** *** DVR ******.

*** *** ** ****...

*** ****** ******. ** ***** * ******. ** *****, *** once, **** *** ********* ** ******** ******* ******* **** **** a ***** ****** **** ***** ** *** **. ***** ** get ****** ** **** **.

************* *** *** **** ** ***** ** **********

** *** ** *** ******** ******* *** ****** ********

*** ****** * ********* ***/**** *** ****** ********* *** ******* the ***** ** ************ ********* *** **** * **** *** not ****** **** **********

**** *** ***** *** **** ** *** *** ******** **** risk

[**** ****: **** ** **** ******** ********** ******]

***** ******** (**/**/****):*** ** ****** * **** ****** ******** ******(**)

19. *** ****** *** ****** ********:

● ***** ******** *** **** ** **** ** *** ** to *** ****** ***** * ******* *** ***** ********* ******** to *** ******. *** ****** *** ** ******** ***** ****** of ***** ********. **** ** *** ** ** ********* ** lock **** *** ******** ******** ** *** ******.

***** ******** (**/*/****):*** ** ****** * **** ****** ******** ******(**)

17. *** ****** ********:

● ***** ******** *** **** ** **** ** *** ** to *** ****** ***** * ******* *** ***** ********* ******** to *** ******. *** ****** *** ** ******** ***** ****** of ***** ********. **** ** *** ** ** ********* ** lock **** *** ******** ******** ** *** ******.

***** *******:*** ** ****** * **** ****** ******** ******(**)

17. [*** ********]

*** ***** **********

***.

*** ***** *** * ****** ******** **** ***** ***** * reported **** *****;

**** **** ******** * ***** "****** *****" ** ********* ****

"*****" : "*****",
"**" : *,
"****" : "****** '* *******",
"****" : "******",
"********" : "[********]",
"********" : ****,
"********" : ****
},

** ****

"*****" : "*****",
"**" : *,
"********" : ****,
"********" : ****
},

**** *** **** ******

***** ******** ***** ******* * *** **** "****"

** ********* **** ************** ********* ******

***** ** ***** ******* **** *** ***** ******** ***** ***********.

*. *** **** ******** ********, *** *** ******* ******* ***** and/or ****** ******** = *** *** *****
*. *** **** *** ******** ********, *** ******* ******* ***** and/or ****** ******** = *** *** *****
*. *** **** ******** ********, *** ******* ******* ***** ***/** 888888 ******** = *** *** *** ***** (*** ***)

******.

*. *** **** *** ******** ********, *** ******* ******* ***** or ****** ******** = *** *** *****

******, ******. *** *** ********* ** ****? ** *** ******** firmware *** ****** '***' ****, *** ***** *** **** **** to ****** *** ******* ********?

****,

***** ***** *** ** ****** ******* (**** *****), *** ***** older ***** *** ***** ***, **'* *** ****** ** **** upgrade ********, *****/****** ******** ***** ** ** ******* ** ****.

*** ***** ******** ** ***** ** **** ***** *** ******/******** backdoor, *** *** ****** *******.

***** *** ** **** ** ***** ****** **** ******** ** login **** ****** ******* ** ***** ** ******, **** ** only **** ******* ** *** ***** ******* ** *** ****** simple ***** ** ******** ** ****** (**** ****** **** ***** browser ***-**) ** ********** ********** ****.- *** ** *** ******* why ***** ******* ***** ***** ********* **** "**** ********".

*** ***** ** ****** ***** ******* *** ****** ******, * really ***'* ******* **** ** ******** *** (* **** **** this **** ** **** *** ****), *** **** **** **** brought ** ** *** ******* ***.

** *** ****** *** *** ******/******** ******** ****** ******** *** whole **** ********, ******** *** ***** ********* ***** ******* ** try ***** ****, *** ** ******* **** ****** *** *** first ****** *** - *** ******* *****, ***** ****** ******* this ******** -since **'* ********** ***** ****.

**, **'* **** ********* ** ******** **** ******** ******** *** no ******* ********, *** *************!

**** * **** ***

/******

@******, ** ******* **** *** *** *** **** *** **** forwarding **** ** **** **** ***** ********? *.*. *** ******* with **** *** **** / ***** **** **********?

******, **** **** **** ******** ******* ** *** ****** *** local ***** ** ****** ******* ** '*******.**'. *** ***** *** Burp ***** *** ********.

* *** * ****** *** ** *** ** *** ******** that ****** ***** **** ****** *** ******* ******** ** * Dahua ********. * ***** *** ** ** ** ****** *** type ** "***** ******* ********,"

*****://*****.***-**.**.**/*******/*****-*******-*****-********-***-********.***/

**** ** *** ***** ***** **** **** ** *** ** the **** ****** *** ****** *** **** *** ********/**/******/***. **** any ************ ****** ****** ****** *** ******* ********.

*********: ********** ****** ******!!**

** ** *** *** ******* ** ***** **** *** ***** be ****** *** ******* ** *****? ****** ***** **** *** would **** ******* *********. ** ** ** ***** ** ***** Hik *** *** ******* ** **** * **********, ***** ******* their *** ******* ** **********?

* **** **** *** * ********** ********** ****, *** **** fair ** **** *** ***. **** ********** ** ******* ******** to **** *** *****, ** ** **....

****** ********* ******* **** **** ****** ******* **** **** -********* ********* ******* ******* ******.

* **** ** **** *** ** ***** ** *** ***** not **** ******* ** ***** **** *** ****** *********** ** know ***. *******, ** ***** ** **** ******** ******** ** the ****** ** ***** *******, ** ***** *********** ****** ** that.

***** *****.....?? **** **** **** ******* ******** ** ***** ******* and *** **** ** **** ***** **** ** ** **** their ***** ***** ******* *********...

***** **** ***** ***** *** * *** ** ***

*** ***** ****** *****

*** ***********, *********, *****, ***********, ********* **** *** ****** *** roules

"****** ***** **** *** ***** **** ******* *****.

"cui ******* scelus is fecit" (for whom the crime advances, he has done it).

** *** **** **** **** *****, *** *** ****** **** Hikvision *** ***** *** **** ******* ** ***** (****** *******) competitors ******* ** ***** ******.

*** *** ***** ** *** *** **** ******: ***** *** one ** ***** * ************** (**** **** *** *****) *** presented ***** ** ******* ****** ***** ***********.

*****://****.***/*******/*****-**-****

(******** **** ** ******* ******* ********* ** * ***)

*** ******** ** **** * *** ***** *** *** ***** problems **** *******.cui *******

** ** *** *** ******* ** ***** **** *** ***** be ****** *** ******* ** *****?

***:****** ************* ******* *********** ******* ** **********'* ********?

** **** ******** ** ********* ***'* *** ***** *** ***** we **** ******* ** ***** *** ******* ***** ** ****** ago. ***********, ** ****** ******* ******* ********* *** *** *** use ******* *****. * ** ****** **** ***** ***** ******* won't ** ********. *** ** * ***** ** ******* **** we ***. **'** **** *** **** **** ****** ******* ****** know **** ** ********* *** * **** ****** ** * few *******...**'* *********** ***..*** ******* *'** ****** ** ***'* **** and ***** *******.

*** ******* *'** ****** ** ***'* **** *** ***** *******.

** ** ***** ********* **** ******, *** ****** ***** ****** to ***** *** *** ****** ***** ******* ** '****** *', they ***** *** ****?

** **** ******** *** ****** * ***** **** ***** ****. When * ****** **** ***** *** ********* *************** **** ****'* seem ** **** **** ****.

**** ** **** ************ ****** **** ***** *********** ** *** a ******* ********. ****** *** *** **** **** **** ***'* care **** ****. ** **** * ******** **** *** ****** we **** ****** **** **** ** **** **** ***** ** a ******* *** **** ***'* **** ** ** ******* ** with **** ***** *******. **'** ******* ** *** **** ***** now *** *** ******* *** ***'* **** ** ** **** out *** ******* ******** ** ******* ***** *** ******* *******.

**'** **** *************** *** ***** **** ******* ** ******* ** a ********* ****** *** ******* * ********. * *** **** taken ** ** ** *** *****. **'** ****** ** **** by ******* *** *** ** ***** *** ***** *** ******* and **** ********** * *** ****** **** * *** *** and ******* *** *******/*** *** *** ***. **'* *** ***** but **'* * ****-********* ******* **** ***** *** ******* **** from *** ********. *** **************, ** ******, *** **** ** upgrade ********** *** ** *** *** **** *** ** ***.

** ****** **** * *** **** ***** ******** ***** * long *** *********** ****

** **** ******* ***** ******** **** ********

**** ***** **

********* **** ***

*** ****

***** **** ** *** ******* ***** ** *** ********: **** don't **** ** **** *** ***** ******** ****** ** * 7-year ***, *** ***** *** **** *** *** ** **** the ********* ****** *** ****** ******** *** ******* **** ***** stress, *** ****** *** **** ****** ******** ***** ******** ** first ********** **** *** ******* **. **** ***** **** **** they *********** ***** ****** *** *****. ***** ***.

** ******** *** ****. **** ****** **** ** *** ********** and ********** *** ***** ****** ** ********** **** ** *** ear *** *** *** *****. **** *** ******** *** ***** over *** *****, ***** ********* *** ******* **** ****** ** not **** ** *****.

********** **** *** ******** **** ** ****. * **** ** older * ******* **** *** ** *** ** ** ******* that * ******* ****** *** ***. * ******* ******* ***** that * *** ****** ** ******* ** **. **** ******** home, **** ******, ** *** **** ******. *** ** *** settings **** *******. ** ****'* ****** **** * ****'* ***** default *********. * *** ** ****** ** * ******** ** you *** **** **** **** * ******. ** **** ** a ****** ** ***** ******* ** *** ** **** ******. Currently *'* ***** ** **** **** **** ** *** ** there *** *** ****** ******** ******* ** *** **** **** they *** *****. *'* *** ***** ** ** ******* ** breath.

** *** ******* **** **** *** ********.

* **** **** **** ******** *** ***** *** ***** ******* which ********* *** **** *** **** ***** **** **** **** uses. ** *** ***** ****, ***** **** *****, ** ********** would ** ** ****.

* ** ***** **** *****. ** *** *** ** **********, you **** *** **** ** ******* *** ** ****** ****** who ** *** ************. **** ** *** ****** ***** ** comming ** *******. ******* *** ******* / ***** *****, ** would ** **** *** ** ** **** ******.

** *** *** ** **********, *** **** *** **** ** attacks *** ** ****** ****** *** ** *** ************.

** **** ****** ** *** ************ ******** * '***** ****' account **** *** * ************* **** ****** ****** ******. **** is * ******, *** * ****** '**' '*****'. *****/********?

****'* * *** **** ****** ** *** **** ******* ***** you * *****, **'* ******** ** ***** **** **** ****** to ******* *** **** *** ******* ** **** * ******* and ******* *** **********'* ****. ******* ******* **** ********* *** should ** ***** **** * *****, *** *** ******* **** because *** ***** *** "****".

****: * ********** **** ****** ******* ******, *** **** **** essentially ***** ****** *** ******** *****. ***** *** **** ** basic, ***** ***** **** **** *** ****** ** ********. ***** in *** ****** * ******* **** ****** **** *** *** skill *** ******* ** ********* **** ***** **** ** *** susceptible ** **** *******. *** ** ** ***** ***, **** would ****** *********, ***, *** ********** *** ****** ***. *** bold? *** ***** *** **** **** ****, ** ***** **.

**** ***** ** * ***** ******** ** ****** ****** **** statement. ***** *** ****, **** ***** ***** ****** *** ***** who *** ***** *** ** **** **** ** ***** *** entertainment. **** *** **** * ******-****** ****** ** ******* *** figured *** *** ** ***** *** *****-**** ******* **** **** a ****** **** *** **** ****** ******* ***** ***** *** a *** ***** *** (** **** ** ****** * "******" account *** ** *** ******* ***** **** ********* **** "***'** been ******"). ** *********** *** ************, **** *** *** *********. As *** ** * **** *****, ******* *** *** **** lost, **** ****** **** *** **** ********* ** ***** *******, and **** *** **** ******* ******* **** *******, *** *** actual ******** *******. ** ***** ******** ** ********** * ***** to **** ****** ** *** *** ** *** **** ** secure ***** ********* *** ***** *** * *** ** *** manufacturer's *** ** *** **** ** ******** **** **** * hoot ***** ********, ***** **** ***'* ******* ****: *) **** don't ****, *) ***'* *** ** *** **** *** ******* from *** ******* ** *) **** ***'* **** ***.

* *****, **** ********* ****** **** **** ** ******** **** "for *** ****" *** ***** ********* ********* *** *** *********, it ********* **** ***** ******* ** ** *** ******** ********. Just **** *** - *'* **** - * **** **** manufacturers/integrators ** **. ***** **** ** ********* ***** ***** ********* take * ***.

*** *** **** ***** **** ******* ******** **** *** ***** botnet ****** **** ***** ******** ******** ** **** "******" **** and ******** ***********?

* ***** ********* ******, *** *** *** ***'*...

** * *** ** *** ******* ***, ** **** ******* a ***** *** ******..

*****'* ******** ********* * ****** ***** *** ****:

**** ***** ** ** ******* ********* *** **** ***** *** the ******** ***** **** ** *** * ************* **** ******* remotely ***** *** '***** ****' *******.

**** ** ***** ******* ***** *** ****, ** **** ***** the ********** **** ** *** *** ** ********* & ********* remaining ******* *** ****** *** ******** ***/** * *********** ** the ****. *** *** ******* ** **** *** ** *** were **** ********* *** **** ***** ********* *******. **** ** our ****** ******** ********* *** **** **** ** ***** ** the **** *** ********* ******* ***** ********* **** *** ******** as **** ** ***** ********* *** ***** ******* ***** *********. So ***, **'** **** *** *** ****** ** * *** saying **** ** ** **** ******** **** ** ******* *** password ** *** ****** ******* ** *** ******** **** **** machines **** ******* ********* **** **********.

*** ** *** ********* ** ********* ** ******** ********* ********* this *****, ** ****** ** *** ********* ** ** ***** as ******** *** **** * ***** ******** ** *** ***** for *** ********* **** *** *********** **** ** **** ******** to *** **** **** ** *** ******* ** **** ** possible ******* ***** **** **** ****** ** *** ********* ******* of *** *** *** *** **** ******** ** ** *** still ******** *********. ** **** ****** *** **** ** ****** and **** ** ********** ** ******* *** ******* ********* ***** best ********* ** *** ** **** ***** ******** ******. *'** given ** ***** **** *** ***** ******* *** ******** *********** from ***** ** ************* ** **** ** ****** **** *** the **** ***.

****, * *** ** **** ************ **** *** *** *** recommending ******** *** ******* ****. ** ***** * ****** *** that ***’* **** ** **** ****? ** ** *** ********** of ******* **** ********** ********** ** *** ********?

** *** ** **** *** * *********** **** *** ** coincidence *** *** **** *** ***** ****** *** *******.

** **** ****** *** *** ***** **** *** ***** ******* was ***********. *** ****** *****, *** *** ******** *** *** the *******, *** ******** ** ***** ***********. *** ****** **** included ******** *** ******* ********.

****** *** *** ******** ** *** ***** ** **** ** pull *** **** ** ***** ******..

* **** * ****** ******* ***** *** ******* ** ***** emergency ********. ********* * **** ** ***** ******** ** *** of ** ********'* ***** ** **********. *** ***** ***** * heard * ***** ****** ********** ***** ********** ** * **** to *********** * ********** ********. *** ********** **** *** ********* has ******** ******* ****** *** **** *** ******* *** ******* is ********** *** **** "******" ** *** ** *** *******.

******* ***, **** ** *** ** *** ******** ******* *** this ***** *** ** **** ** *** **** ** **** clients **** ** ******** ** *** *******. **** ****** *** think ****'** ***** ******** ** *******, *** *** *** ******* it's ********* ********. ** ***'* **** ** **** *** * DIY ******* ** ********* ********* ** ** **********, *** **** it ***** * *** **********. * ***'* **** **** * law *********** ****** ***** ** ** **** **** ** ******, they *** **** ******** *** **** **** * ***** ******, especially ** *** ****** *** *** ******* ********* ******* **** were, ** *** ********* *****, ******* ** ********.

* **** ** **** ** **** *** **** ************* ** emergency ****** ** **** ********** **** ** *** ****.

*** ********* ****** ****** ***** *** ******** ********* ** ********* people

***** ** **** ** * ****** *** ***** *** ** comes ***** ** ***** *******

** **** ***** ********* ****** ****** **** **** *** ******* more *******

* *** **** *****. ** ************ ** **** ** *** client's **** *********** *** * ******** ****** ** **** ** is *****... ****'** **** ** ****** *** **. ** ** a **** ** ***** ****, ******** ************* ** ***. ** one ***** * *'*" *** *** *********, ** *** *****, for **** ******. ****, **** **** ****** ** ** ** if **** **** **** *** ********** *** ****.

*** * **** ***** ******* ******'* **** * *'*" ***** guard. ** ****** **** *** ******** **** ** ***** ********* they *** ******* ** ** ** *********** ********. ** **** were ******** **** ********** ** * ***** *** **** **** then ******* * **** ** * *****, **** ** ** the ********'* *****.

*** ***** ** ******** ******** **** **** **** ************ ******** products *** ********* **** ** ************ *********.

** **** ** ***** ***** ****** *** * ***** ******** who *****'* ** **** ** ******** ** **** ********** **** this ***** **** ** ****, ****** **** **** ***'* ********* the **** ** ******** *** ****.

* ***'* ****, ***** *** **** ***** **** **** *'* prefer ** * *********:

*****://***.*******.***/*****?*=***********

******:

Dahua ******** / ****** *******

***** *** ****** * ***** ******* ** ******** ** ***** attacks ********* ******* **, "***** *** ******** ****** ************* ***********". *** ***** *** *** ********* ***** ********* *:

*** ********* ******** ** ****: ***** ***** '*******' ************* *** Dahua's *** ********* / ****. *** *** ***** ******* ** implies **** **** ** **** ******* ***** ****** *********** ************* but **** ****** ** * ***** ****** **** ***** ********* to **** ***** ******* *** *** *********. ********, *** ******* tries ** ***** *** ******* ** ******* ********* *** *** critical ******* ** *****'* **************** **** ******* ****** ********* ** ********* ****** ** **** *** ***** ********* **** *** '***** only' ******** *******.

******** *****'* ********* ***** ** **** ** * ******** ******

** *****, **** ** **** *** ******* ******** ** * company *********** *** ********: ******, ********** *** ******* ******. *** bad ** **** ***** ** ******** ******.

********** ** ***** *** ******** ******* **** ***** *** *** continue ** *** **** ****** **** ***** **** ***** **** without ****. **** **** ***'* ****, ** **** **** **** in * *** **** *** ****'** **** ******* **** *** it **** *** ** ***** ***** *** ****** ***** *** next **** ** *******. ** * ********/********* ***** ** **** a ***** ** *** ****** ***** *****, **** **** ****** when **** **** ********* **** ****** ** *** ***** ******* no ****** *** *****.

#*, #**, **** ********.

* ** ***** **** #** **** **** ******* **** **** over ** * *** ****, *** ***** **** **** ** more *****, ***.

** *** ***** ****, * ***** ***** ** ** ***** to ** ********. (*) **** ******* (**** ** ** ** only * *** *) *** ***** ** ** *****, ***** upset ****** ** ******, (*) **** ********* *** ******* **** hear ***** ****, *** **** **** **** ****, ********** ***** cost *** (*) ***** ********* ****** **** ** *** ** a ***** ***** **** **** ***** ****** ** *** *** their ***** ***** *** ********* ********.

** ***/***, ***** ********* *** **** ** ******** ********* ******** that ********** ** ******** *** ***** *** **** **** *** they **** ****** **** **** ***'* ****** ***** ***** ** problems **** ****.

***** ****** *** ***** ** **** ** ****** *** ****** for ***** *** ********* ** *** **** *** ********** ****** IMO. ** *** **** ****** ** *****, * ** ******** to *** **** ******* ** *** ********** *********. ****** ** worked ****** **** ******** ** ********** *** ** *** **** couple ** ***** ** ** ******* ******** *** ***** ** know **********. *** ** *** ********* **** ****** *** ******** security ** ***** *** *** *** ******** ******* ** ** pen ***** ** *** ******* *** ****** *** ****** *** easy ** ** ** ***** ***** ****** *****. * ***** not **** ** ** *** *** ****** ** **** *** Hikvision ** *****.

****'* *********!

** *** ****** **** ****** *********** ****** ** *** ***** security ***** **** **** ** ***** *** ****** *******:

*. ********* ** *** *** ******.

*. ****** *****

*. *** *********** ** ****** ******

*. ********** **********

*. ******** ****** *** **** ** ****** ***** ******* ** it ******* ** *** *** *******

*. ********* ********* ******* *******

*** ******* ******* **** *** ******** ********* ** #* ****** due ** *** **** ****** ***** **** **** ******** *******. These *** **** ********** ********. * ******* *** **** ** hacks *** ** ******** ** ***** ****. *** **** ****** I *** ********* ***/***** ***** **** ** ********** ********* **** poaching ***** ********** ********.

* ***** ***'** *****, ** ***** ** *** ***** **** it ***** *** *** *****. ******* *********** ****** **** ******** disregard *** ***** ******** *** ******** ******** ***** ***** ****** from ***** *** **** ******* *** *****. *** ***, **'* not **** *** **** *****'* ****** ** *** ***** ******, including ***********, ** *'* *** ******* ** ******.

**** ** *** ****** ******** **** *** ** ****** ****** local ******** *** *** **** *** ******* ***** ********* (** have *** **** ******* ***** *** ********* **** ******* ***!) so *** ****** *** **** ** ******** ****.

**** ** ******** *** ******* ** ********** ******* **** ********* that **** *** *** ***** ** **** ** * ******* too ***** *******....

* **** *** ******* **** ******** ** ********** ********. * use **** ** *** ******* ** ********* ** *** ********.

*** ***** **** ******* **** ******** * ****** ** *** internet **** ******* ********* *** * *** **** !?!

* **** *** *`* * *** ********* ** *** *** many ********** ***** ****** **** ******** *****.

** ** ****, **** **** ******** **** ********* *** ************: change ******* ***** ********, *****. *** ** **** **********, *****. Get *****, ****.

* ***** *****. ** *** ****’* ******** *** ******* ******** and *** ** *** ********, *** ***’* ******* ** ** in ********. ***, ***** ***’* *******, *** ******* *** ******** of ******* ********* ** **** ****.

* **** ***’* ********** *** *** ******’* **** ********* ********* for ***** *******. **’* *** **** **** ** ******** **** names *** ********.

* **** *** ******** **** *** * ***** *** **** all ******* *********. *** ****** *** **** ** **** *** owner ***** ** ** * ***** ******* **** * ****** steel *** **** * *******. **’* *** ********* ** *** network.

***** * ***'* **** *** ********* ** ***** ******, ** doesn't ***** ******** **** ******* ***** **** *** * ********, set ** ** *** ******** ***** *****, ***** **** ** ***** ** ****:

*** ******** ******, ****** ****** ******** ***** *** ***** *****.

**** ******, **** ** ****. **** **, **** ****** *** password ** *** ***** ******* **** ** ****** ** *** manual, ***** *** "******" ******* ** ******* ** "***** ****". It's ********* ******* ******** **** *** **** ****** **** ** default, ** **** ** ******** ** ********* ****. ** *** same **** **** ******:

*** **** *** ******, ****** ****** ************************ ******** ***** **** ***** *****.(******** ****)

**** ***** ** ***** * *** **** *** ***** ******* is *** *** ** **** ** *** ***** * ***** signal, *** ****** ** ***** **** **** *** "*****" ********* should ** *******. *** **** ***** ****** ** *** **** implementation ** "***** ****" *** *** "******" *******, ** *** as *'** ********** *** *****.

* **** **** *** *** ***** *** ****** ** ***. It *** ** ***** ******** ***** **** **** *** *****. It’s **** *** **** *** **** *** **** **** *********. Every ***** **** **** *** *****. **** ** **** *** 4:00 *.*. *** ******. *** ********* **** *** ******* *** no ********* ******** ** **** **** ******* ***** *** ****.

*** ********* **** *** ******* *** ** ********* ******** ** have **** ******* ***** *** ****.

****, ** **** ***, *** ***** **** *** ***** *** exploiting ********* ****** ******* *********?

*** ****. ** ***** ***** **** *** **** ********* ** the ******** * **** ****** ******* *** *’*, *** *’* and ***** ******* *********. * ***** **** ** **** ** the **** *** ******* **** ****. * ******* ******* *** HTTP ** ***** **** * **** **** *** ****** *** customer ********** ****** ******* ******. **** *** **** *** **** DVR.

****, **** ********. ** *** *** **** ******** ******** **** Dahua ********* *** ** *** ***** ** *** ******* ** talking ** **** *** **** **** ***** **** ***** ** well ** *** **** **** ********* *** ****** **** **** when ** **** **** ******* ** *****.

* ********** ***** ** ** *** *** *** ****** **** the ** **** *** ** *** **** ** *******. * have ***** **** *** ******* **** ** ****** **** ********* your *** *** **** ********** *** **** ******** * ******* is *** *****. **** *** **** ******** ** **** ****?

****://****.*************.***/*****************/*******-***.****

****** ******...** *** ********** ** ***...** *’* *** ***** ** trust ***** ******** ** *** ***** *** ** **** ******* if ***** ********** ******. * ***** ** **** *** ********* as * **** **** ** *** ***** *********...** ******.

***** *** *** **** ******** ****. ** ** ***********. ** is *********** **** ** **** ** * ***** ***** ****** feel *** **** ** ** *********** **** ***** ******* ********. These ******* *** * **** *** ** **** **** ** destructive ********* **** **** ***** ** ***** ***** ************ *** creative ********* ** **** *** ***** * **** ****** *****. The ************, ********* *** ******** ************* **** *** ***** ** these ******** *****.

*** ****** ****** ** ***** ********* *** ***

**** **** **** ********* ** ***** ****** **** ***** ****** all *** ***** ** ***** *** *** *** ***** ** firmware *** *** ***** ****

* ***** **** ** ***** *** *** ****** ****

*** ***** *** *** *** *** ***/*** ***** *** ***

****://**********.***/*****-****-***

******** ***** *** ******* **** ******** / ********* ** ********* **** *** *********** ********* *** **** ** ******* **** this *** **** *****, *** **** ********** ***** **** ** do / **** *** ***** **.

**** ** ******** *** ****

***** **** ********* * ***

******* *** ** *** *** **** ***** **** *******. **** were *** ** ********. ***** *** ** ******** ***** **** were ********* ** ***** ***** **** **** ******** *********. ******* everything ** ***** ***** **** *******. ***** **** ******* * single *******. **** *** ***.

*** **** *** ******** ** ** **** ****

* *****. **** **** **** ** **** ************ **** ** Realtime, *** ***** **** * ************ ** **** ** *** work *******. * **** **** ** ******** ******* *** *** with ************ *** **** ***** **** ** ****** *** ** instead.

*****'* ****** ************** ***** ******* ** **** **** ** ** 51%. ******* *** ** * **** **.* ******* ***. *** this ** *** ***** ** **** **** ** * ****** cap ** ****** ** ******* ***. ****'* *********** ** *** five ***** ***** ** *** ********* ***** ******** ****** *** Mirai ****** ********, *****'* ***** ****** **** , ***** *********** nothing *** **** *****. *********** ********* *** ***** ********? *** stock ******.

** ****, ***** ******** * ***** ** *.* ******* ***. Their ***** **** **** *** ***** **** ******* ****** ******* 9 *** ** ******* *** ** ***** *.** ** ******* a *****. ***** *** ****** ******** ** *** ** *** security ***************, ***** *** ****** **** ***% ** ***** ** nearly * ******* ***. ** *** *** * ****** ********* at ***** **** ******* *****, * ***** ******* ***'** ****** and ******* *** **** *** *****.

****/***** ** ********* *****'* ******* *** ***** ***. **** ***** performance ****** ******* ***** ***** *** ***** ********.

* ***** ***** ******** * ****** ************** ** ***** *** hundred *******.

*** ***** * ********** ****, * ** **** *** ***** of *** ******* ****** ******* *** ***** ********** ** ** extraordinary ***** *** ****** ** ***** ******* *******.

* **** *** *** ******* ******** ** *** ** ***** two ** ***** ***** ****, ***** ***** * **** **** "fix" **** ***** ******? *** ** ******* ***** ******** *******?

***** ***

******

******** ******* *** ** ******* ******** ** *** *******

*** ****, ** *** *** **** **** *** ****** **** for...

****://***.*************.***/************.****

**** ****

** *** ****. ********* *** ******** * ***** *** ********* with *** ******** **** ********, ******* *** ******* ******** *** was ****** ***** *******. *** *****?

********* *** ******** * ***** *** ********* **** *** ******** from ********, ******* *** ******* ******** *** *** ****** ***** tonight. *** *****?

*************, * ******* *** ******* ** **** * ***** * few ***** ***** ** *** **** **** **** **** *******.

*** *** ***** **** ******** ******* **** ***? ** ***** help ** ***** **** **** **** *****.

* *** ******* **** **** ********* ** **** ******* ***** has *** ** **** *************** *** **** ********* ***** **** firmware ***** ****, ** ** **** ** **** **** *** attackers *** ***** (*********** ******** ***************) *** **** ******** '***' them.

**** ** **** ******** ***** **** *** **** ** **** model? ** ******* ** *** *** ****** ******** ** **** but ********** ** *****. **** * *********. ***** ** ***** isnt ******* ******** ** ***** **** *** *** ** ***** previous **** *** *** **** **** ****** ** **** *** of ****.

* ***** **** ******** ***** ******** ******* *** ********** *** the ******* ***** ******** ********** *** *****.

********, **** ***** **** ****** *** **** ***** **** ** could **** ** **** ****** ** ** **** **** ******. Bricking *** *****, ******** *** ****** *******, ** ******** ******** out *** ***** ***** **** ****** ** **** ********** ******* normal ***** ***'* **** ********: ***** *** *** ****** **** haven't ******** ****, *** ***** **** *** **'* * ***** indicator **** **** ****** ** **** ***** ***** ****** ** bringing ********* ** ******** ********* *** ******** ** *** ***** of ***** ************.

*** ****** ** ********** **** ****** ********* ******** ** * little *** "****" *** ** ****** (** ******* ** ***** "white"), *** *** ********* **...****** ********** ** *** ******* ********.

*** ***** **** *** ****** ***** ** ********-** **** * firmware ***** **** ** */**/****. **** ** **** *** ******** sent ** * ***.

* ***** **** *** ** ** ********** *** *** *****. However ** *** **** **********-** **** *** ******* ******** ***** be **.***.****.**.*.******** (********* ** ***** ***) ** *** **** ***** to **********. **** ** *** ******** ** **** **** ********** to *** ** ***** ** ***** *** ****** *************.

**** *** **** ***** ******** *** ****** ******* **********?

* ***** ** ********** ** **** **** ******** *** **** get ** *** ****** ***** ***'*

*) ****:///**************/******

*) ****:///**************/********

*) ****:///**************/*******

*) ****:///**************/****.***

*) ****:///**************/*.**

*) ****:///**************/*.**

/******

*** *** *** ***** *** ******** ******? *** *** **** flash ** **** * *** ** ***** **** ***** **** serial?

***, *** ******** ***** ****** ** **********-** *** *** ******** did *** ****** ** *** *** *******.

**** ** *** ******** ***** ******** ******** *** ******* *** found.

******

**** *** **** ********* ** *** ******** *****?

***** ** ** ***** ** ********* *** ***** (** *** but *** *****), **** ** ***** ***'* ** ********** **** the ****** (********) *'** *****, *** **** **** ******* ***** from *****.

*** ** *** *** *** ** ***, **** ***** ** something ***...

******, ************** ********, ***** *** ****** * ****** **** *** fix **** ***** ** *** ********, ** ********* ******** * **** **,*** ***** *******?

**, * ***'* **** ** ********* **** *** *** ******** motive, *'* **** ********** **** ***, *** **** * **** learned ***** **** ***** **'* **** ******** *** **** *'** discovered *** *********.

**, *'* **** ****** *** ** ***** **** * ****** fix ***** ** *******, ******* *** **** ** *****, **** would *** *** ****** ************* ** **** ****** ** * device, **** ** *********** **** ***** ******** ****** ******* ******, until *** ***** ******* *** ****** ***** ***?

*'* *** ********* **** *** ** ****** ******.

****, ** ***** ** * *** ** **** *** ******** - **** **.

** ***** ** *******, ** *** ****** *** *** *** reason, ******* ******* **** *** ****** ****** ******** ** **** can **** *** **** ******** - **** ***, *****.

***** ** *** ****** ******* **** *****: ******* *** ******: tluafed

*** **** ******* ***'* **** *** ****** **********, ** * find ** * *** ********. (*******, ***** *** ** * bug - ** **** ******)

* ***** *** *** *** '******' ** * ******* ** the *****, *** * **** **** **** ***** **** **** only **** '*****' *** *** '******'.

* ********* ***** ******* ** **** *** ***** *** ** any ******** ******, ** **** *** ********* ***** ***** ***** P2P (!) - *** ***** ***** **** **** *** *** sure ***'* ****.

*** *** (** ****** *** **** **** **********), **** ***** help *** * ***.

******* *****, ***** ******** *** **** ****** **** *** **** of ********* ****, * ***'* **** ***** **** ***** *** anything **** *&* ** ******** *** *********.

* ***** **** *** ** *************, ***** * ****** ***** ***** ** ****** *** **** crap ***.

** **** *** **** **** **** ** ******* **** ** default *********, ** ******* ***** *** **** ********.

*** *** ****** *** **** *********** *** **** ***** */ 2017 ******** ** ********* ** ********?

*** ** ******* ***** **** *** *********** ** *** **** this ****. ** **** **** *** **** *** ** *** field, ****** *** ****/**** (**%) *** ***** ****/**** **%

** **** *** ***** ** ***** **** ******** **** *** older ****** *** **** **** **** ****** ******. ** **** inconsistent, * ****** ** *** ****** *** *** ** ***** the **** ****** ****** ** **** *** ******** **** ********* IP ********.

***.**.***.** (**** ******)

***.**.**.** (**** ***)

** **** **** *** ******* **** **** ** ****** ******* Tor ** ***** ******.

********* **** **** *** ** ******.

**** * ********...***'* ******* **** ** *** **** * ***** of **** ***** ***** ** ******** ***** ** *** ************ by *** ****** ******* ******* ************ *** **** *** ***** openly ******* **** **** **** **** ***** **** ****

**** *** **** ******** ***** ****** ***** ****** ******** **** puplicly ** ***, ** ** ****** ** ** ** ***, are **** ******* * ***** *** ** ****? **** ** benefit **** ** ****** **** ** ** *** ***** **** have * ******** ** **** ** *** **** ********** ** come ** **** * ********?.. *** ** ***** ***?:-)

* ****** **** ******. * ** **** ** ** ******** that *** ******* ******** *** *** ******. ***'* **** ** mislead ******.

** *********** ***** * ******* ***** *** **** ****** ****. Previous ***** *** ******* *** ******* ***** ** "******". *** last *** ** ******** *** ******* *** ***** ** ****** but **** ******* *** ******** ** "******* ********". *** **** that **** ***** ***** ** **** *****'* **** ** ** like ***** ***** **** ********* ****** *** ***** ******* ******. "Upgrade ********" ********?

* **** *** **** *** "** ********* ******" ** **** had ********* ****** **** ******'* *** *** **** *** *** hacked ** ******** **, ** ****, ***** ***** ** *****. Its **** **** * ******* ** ********* ** ** **** vulnerability **** ***** ***** *******.

*** ***** ****** ** ** ** *** **** ** ***** and ******** *************** ******* *** ****** ** ******* *** **** security. **** ** ** **** ***** *** **** **** *******.

** *** **** **** ** ******* *** ***** ***** ********** agencies *** **** **** *** ** ****** *** **** ****/****/****.

*** * *****'* ******* *** ******** ***, *** * ****** of ***** **** *** ****** * ******* *** ******* ******* port **** ***** ** ***** *** *** ****** * ****** time, ******* *** ****** ***** *** ** *** ****'* **** hacked *****.

*'** **** *** **** ****** *** ********* **** *** ****** to ***.

*** *** **** *** ***** ***** **** ** *** ********? I ****** *** *** *** *** ***** **** ***** * nonstandard ****.

****** * ******* ****** ****** *** *** *** ***** ***** shows **** ***** * *** ** **** *** ******* ** a ***-******** ****, *** ** *****'* ****** **** ** *** end. ** *** ******** ***** **** ***** **** ** ** a ****** ****** **** **, **** ***** **** **** **** it ** **** *** *** ****.

**** **** **** ***** * ****** **** ****** **** *******, I **** *** ** ***** ******* *** *****

*** *** ** *** ***** ***** ** *** ******* ***** I **** ******* ******* ***** ** ***** *** ****** * second ****, * ******* *** ****** ******** *** ** *** so ****.

*** **** **** ** *** ********* ** ******* *** ***** and *** ****** **** ****** *** **** **** **** ****** again ** ***.

** *** ********** ***** ** ** ******** *** ** ** all ***** ***** **** *** ******* **** *** *****, *** im ******* *** ***% ************ ** ************* ******* ** *** FWs. ***** **** **** ** ******* ******* **** *** *** different ****** *** **** ****** ************** ** ** *********

********

/********/***/*******/*************************.***.****.**.*.********

*******

/********/***/*******/*************************.***.****.**.*.********

*******

/********/***/*******/*************************.***.****.**.*.********

*********

/********/***/*********/**************************.***.****.**.*.********

*********

/********/***/*********/**************************.***.****.**.*.********

***?

**** **** ****, *** *'* ****** ** ** ******** *** now! ** ****** ***** ******** *'* **** ** ********* ******** firmware ** ******* ***** ******. *** ****** *** **** **** me!

@*****: *** **** *** **** **** *** **** ********* ** every ****** *** *** **** **** ** **** *******? *** isnt **** * **-******* *** ***?

**** ***** **** **** ***** ***** ***** *** ********.

*** ** ***** **** **** ** **** *** *** ** figure *** *** ** **?

**** **** *** *** ********'* *** **** *** ******* ****** on *** ************* ******* ****://***.*************.***/************.****

** ***** ****** **** **** *** **** ** ****** ******* 5+ ***** *** *** ******* ******* ** **** (******* ***** DVRxx04LF-A)

*** **** **** ***** ** ** **** ******** ****** ***** to ***** *** *** ******** ***** ** *** ***** ******....

*** **** ** *****. * ***** **** * ****** ****, that *** *** *****. *** **** **** *** **** ********?

***** **** *** *** *** ****** *****?

**** **** ** ** *** ***** ************* *******, ***** *** website ** ******* **** ***** ** ********* ** **** **** and ***** *** ******* ***'* **** *** **** ***** ****** models.

** *** ** **** *** ******** ** *** ************* ******* you **** *** * ******** *** ***** *** **** **** see *** ******** **** **** *** *** *******.

***** *** **** ****** ***'* ******* *** ******** ****** ****** publicly. ** *** *** ******* *** ******* ** * ********** model, **** ***.

******* *** ******** *** *** ****** ***** ******* ?

*** **** *** **** *******.

****://***.****.***/************/

**** *** **** ******* ******* ** ***** ********* ****** *** users ** ******* *** ****** ***** ******* ******* ** *** machine ** ******* *** *** ******** *** ***.

****** **** *** ************ *********.

** *** **** ****** *** **** *** ** ****** ******* updating ****** *** *********. **** ****** ** ****** **** **** name ** ******.***

**** ** *** ***, * ****** ******* **** *** ******** unless ** *** **** **** ****

** *** * ** ******* ***** *** ******** ** ** yesterday **** *** **** ******. ** *** *** ***** ****** as *** ******** ***** *** ***** ********. ** ********* * factory ***** *** *** **** **** *** *** ******* *****. We **** ** ************ **** *** ******* ******** *** ******** are ******* **** * *** **** *** **** *******. * hope **** **** *********** **** ** ***** ** ********** **** the ******* ** ******. **** ** *********** ** ********** **** rely ** ******** *******.

* **** ***** *** ** ********** **** * ** *** of **** *** *** ********** ** **** ** ******* ** clients’ ***** ***** *********, *** * **** ****** ** ******* they **** **** ****** *****. ** ******* **** **** ****** out *** *** *** ****** ***** ***** ***** *********. **** claim *** ***** **** ******* *** ***** ******* *****, *** this **** **** ****’* ****** *** ******* ****** ** ******.

*** ** ***** ******** ***** **** ** ******** ***** **** I ********* *** ******** **** **** ****. * ******* *** account *********** ** **** ** *** **** *******. **** *** port *** **** ** *** ********, *** *** ****** **** (normally ***** *** *****). *** ***** ***** **** ****** ** the ********.

* **** ****** **** **** **** **** * *** **** in **** *** ** **** **** ******* ***** ****.

  • **** *** **** *** **** ** ***********

***?*** *** ** ** ** **** ** *** **** ** such ******?

**** **** *** **** *** ** ** ** **** * damn ******** ******* ******** ****** *** *** ** ****** ** elementary ******* *** **** *** ********, ** * ************, ** what’s ***** **.

*** ************ ****** ** ****** **** * **** ***** *** provide ****** ******* *** ** *** ***, ** ********* ************ if ***** ***'* ***. *** **** ** **** *** ** ongoing ******* **** ***** *** **** ******** ** ***** *******. It ****** ** ******* ** **** ***** **** ***** ******** alone ***'* ** ******* *** ****** ********* *** ****** ***** a **** ** *** ********** ** ** *** ***** ** poked **** *** ********. **** **** **** ****** *** * couple ** ******* ***, **** ******* **** **** *** *** I'm *** **** ** **'* **** **** ** *** ********.

*** ******* ********* **** ****** ********* ** *** ***** **** Tinc, *** * ***** ****'* ****** **** ** ****** ****** from *** ************ ** **** ****** ****** ****** **** * no-brainer, *** **** ****** **** ****** ** *****.

** **'* ********* ********** *** ************* ** ******* ** ****, maybe************* **** **** * *-*** *** ** * ****** ***-**** device ********** ********* ** * *****, $** ******** ******** (** any ********* ********) **** *** ***** **** **** ** ******* complex *********** **** ********** *** ******** ****. ********* **** *********** would **** ***** ****, **** ** * *** ******* *** bake ** **** * ********* **** ** *** ************ ** their ******* *** ** ****** ******* ** *** ****.

***** *** ******** *** *****, *'* **** **** *********** ****** a ****** ****** *** ****** **** ***-**** ************** **** * seriously ****** *** ********* ******* **** *****.

***, ** *** **** ** ******** **** *********** ***** *** networking ************ ** **** ******, ******* ** ***** **** **** suggestions ** ******* *** ********.

** ***’* ****. *** ** **** **** *****. **** ********** client ** * ***** *******. ** **** *****, ** *** add ** ** **** ******* **** ***** ******, ** ***** have **** *** * *** *** *******.

* **********. ** ***** ****'* *** *****, **** **** ***** be ******. *** **** ***** ****** ** **** ** ****** and *************** ** *** ** ******** ** *******, **** *** the *** ****.

**, ** ***** ********** ** ******** ***** *** *** *** rehacked. **** *** * *** *** ** *** ****, ***** they ******* *** ******* ******* ********. ***** *****.

* *** ****** ** *** **** *** *******'* ****** *** or ***** *****, * ******** *** ** **** ** *** what ***** ****** (*** ******* *** ******** ***** ****). **** changed ***** ** ******* **** ""******" *** ******* **** ** what ** *** ****** *** ** ** ***** ****. ** has **** *****, *****, ***, ***, **** ********* ***** *** same ***** *** ******** ** ****** (** *** ******* ** course).

*** ***** ***, **** **** **** **** *** ******** * changed ********** *** ***** **** ** *** **** *** ** I ******** *** ***** ***, **** ** *** ****** **** soon ***** ** ****** *** ** **** **** ******* *** name ** *** ** *** ******* **** *** ****** "******" to "********"...

****** *** ******* ** *** ****** ******** ******* ******** ******** all *** ***** ****** ***'* **** *** **********!

*** ********** * ****** ***'* *** ******* ********* ****, ** download*******************.***.****.*.*.************ ***** ******** **** ****://***.*************.***/************.****

** **** ******* **** ******** *** ********* ** ****.

**** ********** ****** ********* *** ** ******** **** **** * local ********* *******. **** ******’* ****** *** *** ** ****** the ***, ** **** ****** ** ** ** ** **.

* *** ********* ** ***** ****** **** *** **** **** when * **** * **** ****. ** *** **** ******* in ******* *** ***** ******** ******** ** *** ****** ******* (2015), *** ********* **** ******** ** ***** **********.

** **** ** *** *** ** *** **** *** ***** units, **** **** **** **** ** *** ********* **** *** net ** ******** **** ********* ***** **** ** **** ********* to ****. ***** ** * **** **** ** ****** **** out ** ** ********!

**** ****** **** ********** ****** *** **** ********* ** **** directly (***** ***** ** ***** ***), ** ******'* **** ** also **** ****** *** ********* ******* ******** ** ***** **** needs ** ** ****** *****.

**** ******’* ****** *** *** ** ****** *** ***, ** they ****** ** ** ** ** **.

"** ***'** ****** ******, ******* ** **** '****'"
"*** ** ***** ****? *** **********!"

*** ** **** **** ******* *** **** ** *** ** two ******* **** *** ****** "******" ** "********"...

**'* ** ** *** ****** *** ****** ** *** *********...

*** **** ** ***'* ****** ********** **** * **** ***** like ****...

*** **** **** ** ***. *** ****/**** **** * ******* i ***** ** ******** *** **** *** ****** ******** **** hacked *****!!!

* **** ** ****** *** ** ******* *** **, *** questions ***, *** ** * **** **** ** ** ******* to? *** ******** *** *** **** *** *****, ***** *** units **** *** ****** ** ** **** *****, *** ** we **** ** **** ******* ******* *** *************? *** *** that **** ** ** ***** *** ***** ** *** *** right ******** **** ***** ** ** **** ********* ******?

**** ** ******, ******* ** ***'* **** **** ***** ***** out ***** *** ***** **** ***** **** *** ** *** other. ** ** ****'* *** **** ***** ** ******'* **** where ** **** **. ***** *** ****** **** **** ******, they ****** ** **** ********** *** ************ ** *** ***** of ****. ******* ** ******* ** *** **** **** *** end ******* **** *** ** *** ****.

**** ***** **** ******* ** **** *** ******** *** **** them *** **** ****** ******. **** ****** ** **** ** direct *** ** *** ******* ********. ** ******, **** **** not **** *** ** ******* *** ****** ****** ******* ** it ** *** ***** ** ** ***** ***** *** ****. Hope **** *****, *** *** ****** **** **** ***** ** they *** ************ **** ***

*** ****** ********

**% ****

** ****** *** ** ******* *** **

**% ****

*** ** ** **** ** **** ******* ******* *** *************?

**** **** ********! *****?

*** **** **** ** ** ***** *** ***** ** *** the ***** ******** **** ***** ** ** **** ********* ******?

******* **** ********! *****?? ***

**** *** ** *********, **** **** ****** *** *** ****** the ******** ** *** **** ***** **** **** **** ** the ********?

***** *** *** *** *** ********* **** *** *** **** Dahua *******?

****** **** ** **** ******* ** ******** **** *** ******* the ******** ******. ** ***** ********* ***** *** ** ******* firmware *** **'* ********** **** ** **** ** **'* ********* branded. **** ** *** *** **** **** *****.

*** ****** ******** * ********* *** * *** ******** **** was ******** ****** *** *.********. * ******* * **** *** one ***** **** **** ******. **** *** * ****** ***. Only *** ****** **** ** **** ***** *** ******** *******. This ******** **** ****'* ** ******** *** ***** **** ** default *********** ** ** *********** *** **** **** ** ******* to *** *****. *** ********* ** *** ******** **** *** default ** **** ******** ********* ******. ** *** ** ***** firmware.

** ******* ****, * *** ******* *** **** ******** *** cameras ** * ******'* *****. * ***** **** ** ******* easily *** ****** ****** ****. * **** *** **** ********* on **** ***** *** ** ***** **** ** *** ***** they ***** ** ******. *******, *** ******* *** ********* **** the **** *** ******* ********* **** *** ******** *** ***** devices ****** *************.

* ********** *** ****** ** ********* ******** ******* *** ** seems ** **** **** ** *** **** *** ****** * company ** ****** **** * *****. ***** * **** *** idea ** ********* *******, * ** **** ******** ** ***** Nest ** **** **** * ** ** ***** * ***** and ********* ******* * ***'* **** ***** ***** ******** *** Hikvision ****-****. ******* *** ******* ** ******** **** **** *********, I ***'* **** **** * *** ***** **** **** **** updates ***** **'* ****** ***** *** ****** **** **** *** doing *********** *** ******* ** *** ********.

**** -

**** ** *** ***** # ** *** ****? ** *** contact ***** *** **** *** **** *** ***** ********.

** **** ***** *** **** **** ** *** ****** *** units *** ** *** ***** **** ******* * **** ******* to *** **** ** *** ****** ******** *** ****** ** update ** *** ******* *** ** *** ******* ** ******* specific ******.

**** - **** **** **** ** **-**** ***** ****?

*************, **** ********* ****** ********** *** ***, **** ***** ** difficult ** *******. *******, ** *** ******** *** ********* ** send **** **** ** ** ** ** *** **** **** here, *** ************* **** ***** ****** ** ************ *** * couple ** **** *** *** *****. ****'*** * ***** *** is **** **** ********* ** ** **** * *********. *** have ** **** * ******* **-*** ***** *** **, **** simply ** **** **** * ******* **********.

***** *** ** **** *** *** ******** ****, ******* ***********.

** ** *** ***** **** ****** ** **** ***** ** the ***** **.

* **** **** ** ********* ** ********* *** ** ******* Dahua ****'* ******* **** *** ****** ** *** ******* *** vulnerability. * ***** ** **** **** ** ****** ** *** latest *** ***** *** ******* ** *******?

* ****** *** ** ******** **** ***** * ***, *** I *** **** *** **** **** *** *** **** *** default, *** * **** **** *** **** *** *** ** access **** ********.

* ***** **** *** * ******* **** **** ******* ** automatic ******* **** ** ** *** *********. ********* **** ***** track ****** *** *** ********* **** **** *** **** *******.

** ***** ** ** **** *** **** ********* (***** *** Hik) **** **** **** **** ***** ***** ********** **** *** attention *** ********* ** **** *** **** *****. **** **** care ***** ******* ******* ******* "** *** ******" "*** *****?" Lets **** ****, ** **** ********

** **** ******* ******** ** **** ***** ******* ********:

*****://***.****************.***/****/********/*-********-***-******-***-*****-**-***-*******-**-***-****-*****/

*** ******** *******, *** ** ** ********* ** *** ******** watching/investigating.

Login to read this IPVM report.
Why do I need to log in?
IPVM conducts unique testing and research funded by member's payments enabling us to offer the most independent, accurate and in-depth information.

Related Reports on Hacking

Broken Hikvision App Exposes Hypocrisy on Dec 06, 2017
While Hikvision talks about a commitment to cybersecurity, their broken app and their insecure 'solution' exposes not only their engineering...
Hikvision UPnP Hacking Risk on Dec 04, 2017
Hikvision IP cameras are being hacked even for end users who had not set up port forwarding and believed their cameras were 'safe' behind...
Dahua Forbes 'Next Web Crisis' Vulnerability Dispute on Nov 16, 2017
The buffer overflow vulnerability in Dahua products is not in dispute, in fact we covered it when it was first published. What is in dispute is...
Vivotek Remote Stack Overflow Vulnerability on Nov 14, 2017
A stack overflow vulnerability in Vivotek cameras has been discovered by bashis, the security researcher who has also found vulnerabilities in...
WSJ Investigates Hikvision on Nov 13, 2017
The Wall Street Journal (WSJ) has released a detailed investigation into Hikvision's government ownership and cybersecurity problems, hitting the...
Hikvision Admits Backdoor 'PR Issue' on Oct 24, 2017
Hikvision is admitting a problem. The backdoor itself is evidently not the problem for them. The problem, according to Hikvision, is a public...
Uniview Recorder Backdoor Examined on Oct 20, 2017
A Chinese research group has identified a vulnerability in Uniview recorders that allows backdoor access in a method similar to the Dahua...
Dahua Trying, Struggling To Respond To Hacking Attacks on Oct 04, 2017
Now, 2 weeks since large-scale hacking attacks commenced against Dahua vulnerable devices, we analyze Dahua's response. On the positive side,...
Hikvision USA Misleads Dealers On Backdoor on Oct 03, 2017
Hikvision USA emailed their dealers overnight with their 5th cyber security 'special bulletin' of the year. Misleading Unfortunately, they...
FLIR Thermal Camera Multiple Vulnerabilities, Patch Released on Oct 03, 2017
Multiple cyber security vulnerabilities exist in FLIR thermal cameras, which have not been fixed, despite being reported months ago. In this note,...

Most Recent Industry Reports

Testing DMP XTLPlus / Virtual Keypad Vs Alarm.com & Honeywell on Dec 13, 2017
DMP has a strong presence in commercial intrusion alarms, but not in residential. However, the company's XTLPLus wireless combo panel and Virtual...
Hiring Camera Calculator Product Manager on Dec 12, 2017
We are working on making the Camera Calculator even better and hoping you can help us find the right person to join our team. IPVM is hiring a...
Testing $20 WyzeCam, The Money Losing Amazon Vet Startup on Dec 12, 2017
This startup is perfecting the old adage: We lose money on every sale, but make it up on volume But it is no joke. The company, Wyze Labs, is...
Xiongmai New Critical Vulnerability - Same Manufacturer Whose Products Drove Mirai Botnet Attacks on Dec 12, 2017
The Chinese manufacturer whose products were primarily responsible for the 2016 Mirai botnet attack has a new critical vulnerability, confirmed by...
Robot Vandalism on Dec 11, 2017
Vandalism of security systems is a common concern. It is so common that camera vandalism statistics show that designers routinely sacrifice camera...
Access Controller Software Guide on Dec 11, 2017
Properly configuring access controllers software is key to a professional access system. These devices have fundamental settings that must be...
2018 Video Surveillance Cameras Overview on Dec 11, 2017
This report concisely explains the developments for surveillance cameras offered in 2017 and the state of offerings going into 2018, including...
Imperial Capital Security Investor Conference Review on Dec 08, 2017
Investment bank Imperial Capital holds an annual Security Investor Conference where 60+ companies present, including this year: IPVM bought a...
Integrator GPS Vehicle Tracking Statistics and Success Examined on Dec 08, 2017
GPS vehicle tracking is a growing but somewhat controversial topic. On the plus side, tracking may increases productivity by providing greater...

The world's leading video surveillance information source, IPVM provides the best reporting, testing and training for 10,000+ members globally. Dedicated to independent and objective information, we uniquely refuse any and all advertisements, sponsorship and consulting from manufacturers.

About | FAQ | Contact