По всему Узбекистану сеть из примерно сотни блоков дорожных камер высокого разрешения непрерывно сканирует номерные знаки транспортных средств и их пассажиров, иногда тысячи в день, в поисках потенциальных нарушений правил дорожного движения. Среди них – проезд на красный свет, непристегнутые ремни безопасности и движение транспортных средств без лицензии в ночное время, и это лишь некоторые примеры.
Водитель одного из наиболее отслеживаемых автомобилей в системе находился под наблюдением в течение шести месяцев, когда он перемещался между восточным городом Чирчик, через столицу Ташкент, и расположенным неподалеку поселком Эшонгузар, часто несколько раз в неделю.
Мы знаем это, потому что разветвленная система слежения за номерными знаками в стране осталась открытой для доступа из интернета.
Исследователь в области безопасности Анураг Сен, обнаруживший уязвимость в системе, выявил, что система видеонаблюдения за номерными знаками была доступна в интернете без пароля, что позволяло любому получить доступ к её данным. Неясно, как долго система видеонаблюдения находилась в открытом доступе, но данные из неё показывают, что её база данных была создана в сентябре 2024 года, а мониторинг дорожного движения начался в середине 2025 года.
Эта публикация дает редкую возможность заглянуть за кулисы и узнать, как работают подобные национальные системы слежения за номерными знаками, какие данные они собирают и как их можно использовать для отслеживания местонахождения миллионов людей по всей стране.
Этот инцидент также выявляет риски для безопасности и конфиденциальности, связанные с массовым мониторингом транспортных средств и их владельцев в то время, когда Соединенные Штаты наращивают свою общенациональную сеть считывателей номерных знаков, многие из которых предоставлены гигантом в области наблюдения Flock. Ранее на этой неделе независимое новостное издание 404 Media сообщило, что Flock оставила десятки своих камер для считывания номерных знаков в открытом доступе в интернете, что позволило журналисту наблюдать за тем, как за ним следят в режиме реального времени с помощью камеры Flock.
Сен заявил, что обнаружил уязвимую систему видеонаблюдения за номерными знаками Узбекистана в начале этого месяца, и поделился подробностями нарушения безопасности с TechCrunch. Сен рассказал TechCrunch, что база данных системы раскрывает реальное местоположение камер и содержит миллионы фотографий и необработанных видеозаписей проезжающих автомобилей.
Система находится в ведении Департамента общественной безопасности Министерства внутренних дел Узбекистана в Ташкенте, который не ответил на электронные письма с просьбой прокомментировать произошедший в декабре сбой в системе безопасности.
Представители правительства Узбекистана в Вашингтоне и Нью-Йорке также не ответили на электронные письма TechCrunch по поводу утечки данных. Узбекская группа реагирования на компьютерные чрезвычайные ситуации (UZCERT) также не отреагировала на оповещение о системе, за исключением автоматического ответа, подтверждающего получение нашего электронного письма.
На момент написания статьи система видеонаблюдения остается доступной в интернете.
Система позиционирует себя как «интеллектуальная система управления дорожным движением» от компании Maxvision, расположенной в Шэньчжэне, Китай, производителя интернет-технологий для управления дорожным движением, систем пограничного контроля и устройств видеонаблюдения. В видеоролике на LinkedIn компания заявляет, что ее камеры могут записывать «весь процесс незаконного пересечения границы» и «отображать информацию о незаконном и транзитном перемещении в режиме реального времени».
Согласно брошюре компании, Maxvision экспортирует свои технологии безопасности и видеонаблюдения в страны по всему миру, включая Буркина-Фасо, Кувейт, Оман, Мексику, Саудовскую Аравию и Узбекистан.
Анализ данных, полученных TechCrunch из взломанной системы, выявил как минимум сто камер, расположенных в крупных городах Узбекистана, а также на оживленных перекрестках и других важных транспортных магистралях.
Мы нанесли на карту GPS-координаты камер и обнаружили ряды устройств для считывания номерных знаков в Ташкенте, городах Джизак и Карши на юге и Намангане на востоке. Некоторые камеры расположены в сельской местности, например, на дорогах вблизи некогда спорных участков границы между Узбекистаном и Таджикистаном.
В Ташкенте, крупнейшем городе страны, камеры установлены более чем в десятке мест. Некоторые из этих камер даже видны на Google Street View.
Камеры, некоторые из которых помечают отснятый материал водяным знаком с названием сингапурского производителя камер Holowits, снимают видео и фотографии транспортных средств, нарушающих правила, в разрешении 4K.
Раскрытая система обеспечивает доступ к своему веб-интерфейсу, который содержит панель управления, позволяющую операторам просматривать видеозаписи нарушений правил дорожного движения. Панель управления содержит увеличенные фотографии и необработанные видеозаписи нарушений, а также изображения окружающих транспортных средств. (TechCrunch отредактировал номерные знаки и имена пассажиров транспортных средств перед публикацией.)
Раскрытие информации о национальной системе считывания номерных знаков Узбекистана — это последний пример нарушения безопасности, связанного с камерами видеонаблюдения на дорогах.
Ранее в этом году издание Wired сообщило, что более 150 устройств для считывания номерных знаков по всей территории Соединенных Штатов и собираемые ими в режиме реального времени данные об автомобилях оказались в интернете без какой-либо защиты.
Раскрытие информации о считывателях номерных знаков — не новое явление. В 2019 году TechCrunch сообщил, что более сотни считывателей номерных знаков были доступны для поиска и поиска в интернете, что позволяло любому получить доступ к содержащимся в них данным. Некоторые из них оставались открытыми годами, несмотря на предупреждения исследователей в области безопасности о возможности доступа к этим системам через интернет.
Для безопасной связи с этим репортером вы можете использовать Signal, указав имя пользователя: zackwhittaker.1337
Источник: techcrunch.com
