Kdo se dívá na vaši kameru? Možná celý internet a ani ji nemuseli hacknout

Článek vychází z výzkumu Michala Frýby, který laskavě svolil k přepracování pro český blog.

Bezpečnostní kamery jsou skvělá věc. Hlídají dům, auto, děti, psa. Dokud je ale někdo špatně nenakonfiguruje a de facto tak všechno co se děje inhouse nestreamuje celému internetu. A to se děje mnohem častěji, než si myslíte. Osobně to ukazuji dost často na školeních, je to dobrý icebraker a lidi začne problematika zajímat.

Michal Frýba, penetrační tester, to rozhodl prověřit pořádně. Nestáhl pár screenshotů z kamer — stáhl jich přes 29 tisíc. A pak nechal AI, ať to celé prokouše a zanalyzuje.

Jak to celé funguje (a proč Shodan)

Shodan je vyhledávač pro internet věcí. Zatímco Google indexuje weby, Shodan indexuje zařízení — routery, kamery, průmyslové systémy, cokoliv, co visí na internetu. A hodně věcí tam visí bez hesla nebo s defaultním admin/admin.

Právě ze Shodanu Michal stáhl screenshoty z veřejně přístupných kamer. Žádné hackování, žádné exploity — čistý navíc snadno automatizovaný OSINT. Data jsou prostě veřejná, protože si je majitelé zařízení nevědomky zveřejnili sami.

Zkuste to sami — Shodan dorky

Pokud máte účet na Shodanu (free tier stačí pro základní hledání), tyhle dotazy vám ukážou, o čem mluvíme:

# Kamery bez autentizace s náhledem
has_screenshot:true port:554

# Axis kamery
has_screenshot:true product:"Axis"

# Hikvision (nejrozšířenější čínské kamery)
has_screenshot:true http.title:"DVR Components"

# RTSP streamy
has_screenshot:true port:8080 "IP Camera"

# Kamery podle země (CZ = Česko)
has_screenshot:true country:CZ port:554

A pro Censys (alternativa Shodanu, silnější na certifikáty):

# Webové rozhraní IP kamer
services.http.response.html_title: "IP Camera" and location.country_code=CZ

# RTSP na nestandardních portech
services.port: 554 and services.service_name: "rtsp"

⚠️ Disclaimer: Procházení veřejně indexovaných screenshotů = legální. Připojení ke streamu bez svolení = neoprávněný přístup. Ten rozdíl je zásadní a právně relevantní. Nedělejte druhé!

Co AI v těch kamerách viděla

Z přibližně 21 500 použitelných snímků Michal nechal lokální model Qwen2.5-VL kategorizovat scény, přiřadit privacy score a detekovat objekty. Výsledky byly zarážející:

Kde kamery svítí nejčastěji:

• Ulice, parky, parkoviště → nízké riziko, to je v pořádku
• Kanceláře, obchody → střední riziko
• Ložnice, koupelny, nemocnice, školky → a tady se to začíná vážně srát

AI detekovala jako běžné objekty: auta, stromy, chodníky. Ale taky: postele, monitory, regály, záchodová sedátka. Tohle fakt nebylo veřejné záměrně.

Geografie průšvihů: USA vedou v absolutním počtu vysoce citlivých záběrů, za nimi Rusko, Itálie, Japonsko. Z měst vévodí Tokio. Česko v grafu není vidět, ale to neznamená, že jsme imunní — jen jsme menší.

Zajímavost navíc: AI v popisech scén občas zmiňovala pirátské lodě, kaktuso-velbloudy nebo chobotnice. Lokální 3B model prostě občas filozofuje. Ale vážné záběry — nemocniční pokoje, dětské pokoje — bohužel reálné byly.

Proč se to děje

Klasická IoT pohroma. Výrobce pošle kameru s defaultními přihlašovacemi údaji (admin/admin, admin/12345, root/ — vyberte si), majitel ji zapojí do routeru, nastaví port forwarding, aby se mohl dívat z práce, a tím to skončí. Žádná změna hesla, žádné VPN, žádné přemýšlení.

Výsledek: kamera hlídá dítě a zároveň streamuje do světa. Nicméně často není potřeba se do kamery ani hackovat výše zmíněnými loginy – obvykle jde podle URL dohledat fotky/stream, který je úplně nezabezpečený! Viz třeba moje oblíbená sajta http://insecam.org/en/byrating/

Jak si zkontrolovat vlastní síť

Tohle je ten praktický tip, který chci, abyste si odnesli domů:

1. Shodan Monitor (zadarmo) Zaregistruj se na monitor.shodan.io, přidej svou veřejnou IP adresu, pokud je statická (většina providerů ji mění, tak bacha!) nebo síťový rozsah. Shodan ti řekne, co z tvojí sítě vidí internet. Stejně tak stačí IP adresu (viz níže) Shodanem prostě oskenovat.

2. Zjisti svou veřejnou IP

Pokud se nebojíte terminálu tak zadejte:

curl ifconfig.me

nebo prostě Google: „what is my ip“ nebo česká stránka https://www.mojeip.cz/

3. Nmap ze své sítě

# Skenuj svůj router/domácí rozsah
nmap -sV -p 554,8080,8554,80,443,37777 192.168.1.1/24

Port 554 = RTSP (kamerové streamy), 8080/8554 = častá alternativní webová rozhraní kamer.

4. Podívej se na svůj router Přihlas se do administrace routeru (typicky 192.168.1.1 nebo 192.168.0.1) a zkontroluj sekci Port Forwarding / NAT. Pokud tam vidíš přesměrování na porty 554, 8080 nebo podobné — tak kamera vysílá ven.

5. Změň defaultní heslo kamery Vážně. Teď. Ať je to Hikvision, Dahua, TP-Link nebo cokoliv jiného — defaultní přihlašovací údaje jsou první věc, co útočník zkouší.

Co z toho plyne

Michalův výzkum ukazuje, že expozice kamer není výjimka — je to globální standard špatné konfigurace. Většina záběrů je nevinných (ulice, parky). Ale ta menšina, kde AI vidí postele, dětské pokoje a nemocniční sály — ta je alarmující.

Technologie samotná za to nemůže. Může za to absence základní bezpečnostní hygieny: defaultní hesla, přímé vystavení do internetu, nulová segmentace sítě.

TL;DR pro normální lidi: Pokud máš doma IP kameru a nevíš co je port forwarding nebo jestli jsi měnil heslo — řeš to. Teď. S kámošem ajítkem nebo GPT, to je fuk, ale řešte to!

---

Plný výzkum včetně grafů, map a metodologie najdete v originálním článku Michala Frýby: michalfryba.cz