По всему Узбекистану сеть из примерно сотни блоков камер высокого разрешения, установленных вдоль дорог, непрерывно сканирует номерные знаки автомобилей и их пассажиров, иногда тысячи в день, в поисках потенциальных нарушений правил дорожного движения. Проезд на красный свет, непристегнутые ремни безопасности и движение незарегистрированных транспортных средств в ночное время — это лишь некоторые примеры.
Водитель одного из наиболее отслеживаемых автомобилей в системе находился под наблюдением более шести месяцев, когда он перемещался между восточным городом Чирчик, через столицу Ташкент, и близлежащим поселком Эшонгузар, часто несколько раз в неделю.
Мы знаем это, потому что разветвленная система слежения за номерными знаками в стране была оставлена открытой для доступа из интернета.
Исследователь в области безопасности Анураг Сен, обнаруживший уязвимость, обнаружил, что система слежения за номерными знаками находится в сети без пароля, что позволяет любому получить доступ к хранящимся в ней данным. Неясно, как долго система видеонаблюдения находится в открытом доступе, но данные из нее свидетельствуют о том, что ее база данных была создана в сентябре 2024 года, а мониторинг трафика начался в середине 2025 года.
Этот случай дает редкую возможность увидеть, как работают такие национальные системы слежения за автомобильными номерами, какие данные они собирают и как их можно использовать для отслеживания местонахождения любого из миллионов людей по всей стране.
Этот промах также показывает риски для безопасности и конфиденциальности, связанные с массовым мониторингом автомобилей и их владельцев, в то время как США создают свою общенациональную сеть считывателей автомобильных номеров, многие из которых поставляются гигантом в области слежения Flock. В начале этой недели независимый новостной ресурс 404 Media сообщил, что Flock оставил десятки своих камер для считывания номерных знаков открытыми для доступа в интернете, что позволило репортеру наблюдать, как его отслеживают в режиме реального времени с помощью камеры Flock.
Сен сказал, что он обнаружил уязвимую систему наблюдения за узбекскими номерными знаками в начале этого месяца и поделился подробностями об упущении в безопасности с TechCrunch. Сен сообщил TechCrunch, что база данных системы раскрывает реальные местоположения камер и содержит миллионы фотографий и необработанных видеозаписей проезжающих транспортных средств.
Система находится в ведении Департамента общественной безопасности Министерства внутренних дел Узбекистана в Ташкенте, который не ответил на электронные письма с просьбой прокомментировать нарушение безопасности в декабре.
Представители узбекского правительства в Вашингтоне и Нью-Йорке также не ответили на электронные письма TechCrunch об уязвимости. Команда по реагированию на компьютерные чрезвычайные ситуации Узбекистана (UZCERT) не ответила на предупреждение о системе, за исключением автоматического ответа с подтверждением получения нашего электронного письма.
На момент написания статьи система наблюдения по-прежнему остается уязвимой в сети.
Система позиционирует себя как «интеллектуальная система управления трафиком» от Maxvision, китайского производителя технологий для управления трафиком, систем пограничного контроля и продуктов для наблюдения, базирующегося в Шэньчжэне. В видео на LinkedIn компания заявляет, что ее камеры могут записывать «весь процесс незаконной деятельности» и «отображать информацию о незаконном и транзитном перемещении в режиме реального времени».
Согласно брошюре, Maxvision экспортирует свои технологии безопасности и наблюдения в страны по всему миру, включая Буркина-Фасо, Кувейт, Оман, Мексику, Саудовскую Аравию и Узбекистан.
Анализ данных, полученных TechCrunch из взломанной системы, выявил как минимум сотню камер, расположенных в крупных городах Узбекистана, а также на оживленных перекрестках и других важных транспортных магистралях.
Мы нанесли на карту GPS-координаты камер и обнаружили ряды устройств для считывания номерных знаков в Ташкенте, городах Джизак и Карши на юге и Намангане на востоке. Некоторые камеры расположены в сельской местности, например, на трассах вблизи ранее спорных участков границы между Узбекистаном и Таджикистаном.
В Ташкенте, крупнейшем городе страны, камеры можно найти более чем в десятке мест. Некоторые из этих камер даже видны на Google Street View.
Камеры, некоторые из которых наносят на свои записи водяной знак с названием сингапурского производителя камер Holowits, снимают видео и делают фотографии транспортных средств, нарушающих правила, в разрешении 4K.
Уязвимая система позволяет получить доступ к ее веб-интерфейсу, который содержит панель управления, позволяющую операторам просматривать записи о нарушениях правил дорожного движения. Панель управления содержит увеличенные фотографии и исходные видеозаписи нарушений, а также окружающих транспортных средств.
Уязвимость национальной системы считывания номерных знаков Узбекистана является последним примером нарушения безопасности, связанного с камерами наблюдения за дорожным движением.
Ранее в этом году Wired сообщил, что более 150 считывателей номерных знаков по всей территории США и собираемые ими данные о транспортных средствах в режиме реального времени были открыты для доступа в интернете без какой-либо защиты.
Разоблачение считывателей номерных знаков — не новое явление. В 2019 году TechCrunch сообщил, что более ста устройств считывания номерных знаков были доступны для поиска и доступа из Интернета, что позволяло любому получить доступ к содержащимся в них данным. Некоторые из них были разоблачены в течение многих лет, несмотря на то что исследователи в области безопасности предупреждали правоохранительные органы о том, что к этим системам можно получить доступ из интернета.
Автор: Зак Уиттакер
Источник: Inside Uzbekistan’s nationwide license plate surveillance system
Перевод Дианы Канбаковой
Фото из открытых источников