Σε ολόκληρο το Ουζμπεκιστάν, ένα δίκτυο από περίπου εκατό τράπεζες καμερών στο δρόμο υψηλής ανάλυσης σαρώνει συνεχώς τις πινακίδες των οχημάτων και τους επιβάτες τους, μερικές φορές χιλιάδες την ημέρα, αναζητώντας πιθανές κυκλοφοριακές παραβάσεις. Αυτοκίνητα με κόκκινα φανάρια, οδηγοί που δεν φορούν τις ζώνες ασφαλείας τους και οχήματα χωρίς άδεια που οδηγούν τη νύχτα, για να αναφέρουμε μερικά.
Ο οδηγός ενός από τα πιο επιτηρούμενα οχήματα του συστήματος παρακολουθήθηκε για έξι μήνες καθώς ταξίδευε μεταξύ της ανατολικής πόλης Chirchiq, μέσω της πρωτεύουσας Τασκένδης, και στον κοντινό οικισμό Eshonguzar, συχνά πολλές φορές την εβδομάδα.
Το γνωρίζουμε αυτό επειδή το εκτεταμένο σύστημα παρακολούθησης της χώρας για την παρακολούθηση πινακίδων κυκλοφορίας έχει αφεθεί εκτεθειμένο στο διαδίκτυο.
Ερευνητής ασφάλειας Anurag Senο οποίος ανακάλυψε το σφάλμα ασφαλείας, βρήκε το σύστημα επιτήρησης πινακίδων κυκλοφορίας εκτεθειμένο στο διαδίκτυο χωρίς κωδικό πρόσβασης, επιτρέποντας σε οποιονδήποτε πρόσβαση στα δεδομένα μέσα. Δεν είναι σαφές πόσο καιρό το σύστημα επιτήρησης είναι δημόσιο, αλλά τα τεχνουργήματα από το σύστημα δείχνουν ότι η βάση δεδομένων του δημιουργήθηκε τον Σεπτέμβριο του 2024 και η παρακολούθηση της κυκλοφορίας ξεκίνησε στα μέσα του 2025.
Η έκθεση προσφέρει μια σπάνια ματιά στο πώς λειτουργούν τέτοια εθνικά συστήματα επιτήρησης πινακίδων κυκλοφορίας, τα δεδομένα που συλλέγουν και πώς μπορούν να χρησιμοποιηθούν για την παρακολούθηση του εντοπισμού οποιουδήποτε από τα εκατομμύρια των ανθρώπων σε μια ολόκληρη χώρα.
Η παράλειψη αποκαλύπτει επίσης τους κινδύνους ασφάλειας και ιδιωτικότητας που συνδέονται με τη μαζική παρακολούθηση των οχημάτων και των ιδιοκτητών τους, τη στιγμή που οι Ηνωμένες Πολιτείες αναπτύσσουν τη σειρά των συσκευών ανάγνωσης πινακίδων κυκλοφορίας σε εθνικό επίπεδο, πολλές από τις οποίες παρέχονται από τον γίγαντα παρακολούθησης Flock. Νωρίτερα αυτή την εβδομάδα, το ανεξάρτητο ειδησεογραφικό πρακτορείο 404 Media ανέφερε ότι η Flock άφησε δεκάδες δικές της κάμερες ανάγνωσης πινακίδων κυκλοφορίας δημοσίως εκτεθειμένες στο διαδίκτυο, επιτρέποντας σε έναν ρεπόρτερ να παρακολουθούν τον εαυτό τους να παρακολουθείται σε πραγματικό χρόνο από μια κάμερα Flock.
Ο Σεν είπε ότι βρήκε το εκτεθειμένο σύστημα επιτήρησης πινακίδων κυκλοφορίας του Ουζμπεκιστάν νωρίτερα αυτόν τον μήνα και μοιράστηκε λεπτομέρειες σχετικά με το σφάλμα ασφαλείας με την TechCrunch. Ο Sen είπε στο TechCrunch ότι η βάση δεδομένων του συστήματος αποκαλύπτει τις πραγματικές τοποθεσίες των καμερών και περιέχει εκατομμύρια φωτογραφίες και ακατέργαστο βίντεο κάμερας διερχόμενων οχημάτων.
Το σύστημα διευθύνεται από το Τμήμα Δημόσιας Ασφάλειας του Υπουργείου Εσωτερικών του Ουζμπεκιστάν στην Τασκένδη, το οποίο δεν απάντησε σε μηνύματα ηλεκτρονικού ταχυδρομείου που ζητούσαν σχολιασμό σχετικά με το σφάλμα ασφαλείας τον Δεκέμβριο.
Οι εκπρόσωποι της κυβέρνησης του Ουζμπεκιστάν στην Ουάσιγκτον, DC και τη Νέα Υόρκη επίσης δεν απάντησαν στα email της TechCrunch σχετικά με την έκθεση. Η ομάδα ετοιμότητας έκτακτης ανάγκης υπολογιστών του Ουζμπεκιστάν, UZCERT, δεν απάντησε σε ειδοποίηση σχετικά με το σύστημα, εκτός από μια αυτοματοποιημένη απάντηση που επιβεβαίωσε τη λήψη του email μας.
Το σύστημα επιτήρησης παραμένει εκτεθειμένο στον Ιστό τη στιγμή της συγγραφής.
Το σύστημα αυτοαναφέρεται ως «σύστημα διαχείρισης κίνησης πληροφοριών» από τη Maxvision, μια εταιρεία κατασκευής τεχνολογιών κυκλοφορίας συνδεδεμένων στο Διαδίκτυο, συστημάτων επιθεώρησης συνόρων και προϊόντων επιτήρησης με έδρα το Shenzhen της Κίνας. Σε ένα βίντεο στο LinkedInη εταιρεία λέει ότι οι κάμερές της μπορούν να καταγράψουν την «ολόκληρη παράνομη διαδικασία» και μπορούν «να εμφανίσουν παράνομες και διαβιβαστικές πληροφορίες σε πραγματικό χρόνο».
Σύμφωνα με μπροσούρα τουη Maxvision εξάγει την τεχνολογία ασφαλείας και επιτήρησής της σε χώρες σε όλο τον κόσμο, όπως η Μπουρκίνα Φάσο, το Κουβέιτ, το Ομάν, το Μεξικό, η Σαουδική Αραβία και το Ουζμπεκιστάν.
Η ανάλυση του TechCrunch των δεδομένων μέσα στο εκτεθειμένο σύστημα αποκάλυψε τουλάχιστον εκατό κάμερες που βρίσκονται σε μεγάλες πόλεις του Ουζμπεκιστάν, καθώς και πολυσύχναστους κόμβους και άλλες σημαντικές διαδρομές διέλευσης.
Σχεδιάσαμε τις συντεταγμένες GPS των καμερών και βρήκαμε τράπεζες συσκευών ανάγνωσης πινακίδων κυκλοφορίας στην Τασκένδη, τις πόλεις Jizzakh και Qarshi στο νότο και Namangan στα ανατολικά. Μερικές από τις κάμερες βρίσκονται σε αγροτικές περιοχές, όπως σε διαδρομές κοντά στο άλλοτε αμφισβητούμενα μέρη των συνόρων μεταξύ Ουζμπεκιστάν και Τατζικιστάν.
Στην Τασκένδη, τη μεγαλύτερη πόλη της χώρας, οι κάμερες βρίσκονται σε περισσότερες από δώδεκα τοποθεσίες. Ορισμένες από αυτές τις κάμερες είναι ορατές ακόμη και στο Google Street View.
Οι κάμερες, μερικές από τις οποίες υδατογραφούν τα πλάνα τους με το όνομα του κατασκευαστή καμερών της Σιγκαπούρης Holowits, καταγράφουν βίντεο και φωτογραφίες οχημάτων που παραβιάζουν κανόνες σε ανάλυση 4K.
Το εκτεθειμένο σύστημα επιτρέπει την πρόσβαση στη διεπαφή που βασίζεται στον ιστό, η οποία περιέχει έναν πίνακα εργαλείων που επιτρέπει στους χειριστές να εξετάζουν πλάνα από τροχαίες παραβάσεις. Το ταμπλό περιέχει φωτογραφίες με μεγέθυνση και το ακατέργαστο βίντεο με παραβάσεις, καθώς και γύρω οχήματα. (Το TechCrunch διέγραψε τις πινακίδες κυκλοφορίας και τους επιβάτες των οχημάτων πριν από τη δημοσίευση.)
Η έκθεση του εθνικού συστήματος ανάγνωσης πινακίδων κυκλοφορίας του Ουζμπεκιστάν είναι το πιο πρόσφατο παράδειγμα σφάλματος ασφαλείας που περιλαμβάνει κάμερες οδικής παρακολούθησης.
Νωρίτερα φέτος, Το Wired αναφέρθηκε ότι περισσότεροι από 150 αναγνώστες πινακίδων κυκλοφορίας στις Ηνωμένες Πολιτείες και τα δεδομένα οχημάτων σε πραγματικό χρόνο που συλλέγουν εκτέθηκαν στο διαδίκτυο χωρίς καμία ασφάλεια.
Οι εκτεθειμένοι αναγνώστες πινακίδων κυκλοφορίας δεν είναι νέο φαινόμενο. Το 2019, η TechCrunch ανέφερε ότι πάνω από εκατό αναγνώστες πινακίδων κυκλοφορίας ήταν προσβάσιμες και προσβάσιμες από το διαδίκτυο, επιτρέποντας σε οποιονδήποτε να έχει πρόσβαση στα δεδομένα. Κάποιοι είχαν εκτίθεται εδώ και χρόνιαπαρά το γεγονός ότι οι ερευνητές ασφαλείας προειδοποιούν τις υπηρεσίες επιβολής του νόμου ότι αυτά τα συστήματα θα μπορούσαν να έχουν πρόσβαση από τον ιστό.
Για να επικοινωνήσετε με ασφάλεια με αυτόν τον δημοσιογράφο, μπορείτε να επικοινωνήσετε χρησιμοποιώντας το Signal μέσω του ονόματος χρήστη: zackwhittaker.1337
Via: techcrunch.com
