За водителем одного из наиболее отслеживаемых автомобилей в системе велось наблюдение в течение шести месяцев, пока он перемещался между восточным городом Чирчик, через столицу Ташкент и близлежащий поселок Эшонгузар, часто несколько раз в неделю.
Мы знаем это, потому что разветвленная система отслеживания номерных знаков в стране оказалась открытой для доступа в интернет.
Исследователь в области безопасности Анураг Сен, обнаруживший этот пробел в безопасности, нашел систему наблюдения за номерными знаками, размещенную в интернете без пароля, что позволяло любому получить доступ к данным внутри. Неясно, как долго система наблюдения была общедоступной, но артефакты из системы показывают, что ее база данных была создана в сентябре 2024 года, а мониторинг трафика начался в середине 2025 года.
Этот случай предоставляет редкую возможность увидеть, как работают подобные национальные системы наблюдения за номерными знаками, какие данные они собирают и как их можно использовать для отслеживания местонахождения любого из миллионов людей по всей стране.
Утечка также выявляет риски для безопасности и конфиденциальности, связанные с массовым мониторингом транспортных средств и их владельцев, в то время как Соединенные Штаты наращивают свою общенациональную сеть считывателей номерных знаков, многие из которых предоставляются гигантом в области наблюдения Flock. Ранее на этой неделе независимое новостное издание 404 Media сообщило, что Flock оставила десятки своих собственных камер для считывания номерных знаков в открытом доступе в интернете, что позволило репортеру наблюдать за собой в режиме реального времени с помощью камеры Flock.
Сен сообщил, что обнаружил незащищенную узбекскую систему наблюдения за номерными знаками ранее в этом месяце, и поделился подробностями о пробеле в безопасности с TechCrunch. Сен рассказал TechCrunch, что база данных системы раскрывает реальное местоположение камер и содержит миллионы фотографий и необработанных видеозаписей с камер проезжающих транспортных средств.
Система управляется Департаментом общественной безопасности Министерства внутренних дел Узбекистана в Ташкенте, который не ответил на электронные письма с просьбой прокомментировать ситуацию с безопасностью в течение декабря.
Представители правительства Узбекистана в Вашингтоне, округ Колумбия, и Нью-Йорке также не ответили на электронные письма TechCrunch об этой утечке. Группа реагирования на компьютерные чрезвычайные ситуации Узбекистана, UZCERT, не ответила на предупреждение о системе, за исключением автоматического ответа с подтверждением получения нашего электронного письма.
На момент написания статьи система наблюдения остается доступной в интернете.
Система называет себя «интеллектуальной системой управления дорожным движением» от Maxvision, производителя подключенных к интернету технологий для дорожного движения, систем пограничного контроля и продуктов для наблюдения из Шэньчжэня, Китай. В видео на LinkedIn компания заявляет, что ее камеры могут записывать «весь незаконный процесс» и могут «отображать незаконную и проходящую информацию в режиме реального времени».
Согласно ее брошюре, Maxvision экспортирует свои технологии безопасности и наблюдения в страны по всему миру, включая Буркина-Фасо, Кувейт, Оман, Мексику, Саудовскую Аравию и Узбекистан.
Анализ данных, проведенный TechCrunch, показал наличие как минимум сотни камер, расположенных в крупных городах Узбекистана, а также на оживленных перекрестках и других важных транзитных маршрутах.
Мы нанесли GPS-координаты камер на карту и обнаружили группы считывателей номерных знаков в Ташкенте, городах Джизак и Карши на юге и Наманган на востоке. Некоторые из камер расположены в сельской местности, например, на маршрутах вблизи когда-то спорных участков границ между Узбекистаном и Таджикистаном.
В Ташкенте, крупнейшем городе страны, камеры можно найти более чем в дюжине мест. Некоторые из этих камер даже видны на Google Street View.
Камеры, некоторые из которых содержат водяные знаки с названием сингапурского производителя камер Holowits, снимают видео и фотографии транспортных средств, нарушающих правила, в разрешении 4K.
Открытая система предоставляет доступ к своему веб-интерфейсу, который содержит панель управления, позволяющую операторам изучать видеозаписи нарушений правил дорожного движения. Панель управления содержит увеличенные фотографии и необработанные видеозаписи нарушений, а также окружающие транспортные средства. (TechCrunch отредактировал номерные знаки и пассажиров транспортных средств перед публикацией.)
Обнаружение национальной системы считывания номерных знаков Узбекистана – это последний пример нарушения безопасности, связанного с камерами дорожного наблюдения.
Ранее в этом году Wired сообщил, что более 150 считывателей номерных знаков в Соединенных Штатах и собираемые ими данные об автомобилях в режиме реального времени были доступны в интернете без какой-либо защиты.
Открытые считыватели номерных знаков – не новое явление. В 2019 году TechCrunch сообщил, что более сотни считывателей номерных знаков были доступны для поиска и доступа из интернета, что позволяло любому получить доступ к данным внутри. Некоторые оставались открытыми в течение многих лет, несмотря на то, что исследователи в области безопасности предупреждали правоохранительные органы о том, что к этим системам можно получить доступ из интернета.
Чтобы безопасно связаться с этим репортером, вы можете использовать Signal, используя имя пользователя: zackwhittaker.1337
(*) Имейте ввиду, редакции некоторых западных изданий придерживаются предвзятых взглядов в освящении некоторых новостей, связанных с Россией.
7/9
Автор – Zack Whittaker
