Dziś rano w ciągu zaledwie 20 minut automatyczny system rozpoznawania tablic rejestracyjnych (ALPR) w Nashville w stanie Tennessee wykonał zdjęcia i szczegółowe informacje o prawie 1000 przejeżdżających pojazdach. Wśród nich: osiem czarnych Jeepów Wranglerów, sześć Hondy Accord, jedna ambulans i żółty Ford Fiesta z tabliczką kosmetyczną.
To repozytorium danych pojazdów gromadzonych w czasie rzeczywistym przez jeden z systemów ALPR firmy Motorola powinno być dostępne dla organów ścigania. Jednak luka odkryta przez badacza bezpieczeństwa ujawniła przekazy wideo na żywo i szczegółowe zapisy przejeżdżających pojazdów, ujawniając zdumiewającą skalę nadzoru, jaki umożliwia ta wszechobecna technologia.
Według badacza bezpieczeństwa Matta Browna, który jako pierwszy nagłośnił problemy w tej serii, w ostatnich miesiącach wyciekły transmisje wideo i dane z ponad 150 kamer Motorola ALPR. Film z Youtube’a Po zakupie kamery ALPR w serwisie eBay i jej inżynierii wstecznej.
Oprócz transmisji materiału na żywo dostępnego dla każdego za pośrednictwem Internetu, nieprawidłowo skonfigurowane kamery ujawniły także zebrane dane, w tym zdjęcia samochodów i zapisy tablic rejestracyjnych. Aby uzyskać dostęp do kanałów wideo i danych w czasie rzeczywistym, nie jest wymagana żadna nazwa użytkownika ani hasło.
Razem inni technolodzyWIRED przejrzał nagrania wideo z wielu kamer i potwierdził, że dane pojazdu – w tym marka, model i kolor – mogły zostać przypadkowo ujawnione. Motorola potwierdziła ujawnienie informacji, informując WIRED, że współpracuje ze swoimi klientami nad zamknięciem dostępu.
W ciągu ostatniej dekady tysiące kamer ALPR pojawiło się w miastach całej Ameryki. Kamery produkowane przez takie firmy jak Motorola i Flock Safety automatycznie wykonują zdjęcia po wykryciu przejeżdżającego samochodu. Policja często wykorzystuje kamery i bazy danych zawierające zebrane dane do wyszukiwania podejrzanych. Kamery ALPR można instalować wzdłuż poboczy dróg, na deskach rozdzielczych radiowozów, a nawet w ciężarówkach. Aparaty te rejestrują miliardy zdjęć samochodów – czasami włączając naklejki na zderzaki, znaki trawnikowe i T-shirty.
„Każdy z nich, którego zdemaskowałem, znajdował się w określonym miejscu na jakiejś ulicy” – powiedział WIRED Brown, który prowadzi firmę zajmującą się cyberbezpieczeństwem Brown Fine Security. Naświetlony obraz wideo obejmuje tę samą długość ruchu, co samochody poruszające się w polu widzenia kamery. W niektórych potokach pada śnieg. Brown znalazł dwa strumienie dla każdego naświetlonego systemu kamer, jeden w kolorze, a drugi w podczerwieni.
Ogólnie rzecz biorąc, gdy samochód mija kamerę ALPR, robione jest zdjęcie pojazdu, a system wykorzystuje uczenie maszynowe do wyodrębniania tekstu z tablicy rejestracyjnej. Zapisywane są w nim szczegółowe informacje, takie jak miejsce zrobienia zdjęcia, godzina, a także metadane, takie jak marka i model pojazdu.
Brown twierdzi, że nagrania z kamer i dane pojazdów zostały prawdopodobnie ujawnione, ponieważ nie zostały zainstalowane w sieci prywatnej, prawdopodobnie przez przydzielone im organy ścigania, a zamiast tego zostały ujawnione przez Internet bez żadnego uwierzytelnienia. „Jest nieprawidłowo skonfigurowany, nie powinien być otwarty w publicznym Internecie” – mówi.
WIRED przetestował lukę, analizując strumienie danych z 37 różnych adresów IP powiązanych z kamerami Motoroli w kilkunastu miastach w Stanach Zjednoczonych, od Omaha w Nebrasce po Nowy Jork. W ciągu zaledwie 20 minut kamery te zarejestrowały markę, model, kolor i tablice rejestracyjne prawie 4000 pojazdów. Niektóre samochody były rejestrowane wielokrotnie – w niektórych przypadkach nawet trzy razy – gdy przejeżdżały przez różne kamery.
