უზბეკეთის ავტომობილების თვალთვალის მასშტაბური სისტემა ინტერნეტში დაუცველად აღმოჩნდა

უზბეკეთის მასშტაბით ასობით მაღალი გარჩევადობის საგზაო კამერისგან შემდგარი ქსელი მუდმივად ასკანირებს ავტომობილების სანომრე ნიშნებსა და მათში მყოფ პირებს. სისტემა დღეში ათასობით მონაცემს ამუშავებს საგზაო მოძრაობის წესების დარღვევების გამოსავლენად, როგორიცაა წითელ შუქზე გავლა, უსაფრთხოების ღვედის გამოუყენებლობა და ლიცენზიის გარეშე ღამით გადაადგილება.

უსაფრთხოების მკვლევარმა ანურაგ სენმა აღმოაჩინა, რომ ქვეყნის სანომრე ნიშნების თვალთვალის სისტემა ინტერნეტში ყოველგვარი პაროლის გარეშე იყო ხელმისაწვდომი. ამ ხარვეზის გამო, ნებისმიერ მსურველს შეეძლო მონაცემთა ბაზაზე წვდომა. მიუხედავად იმისა, რომ უცნობია, რამდენ ხანს იყო სისტემა საჯარო, მონაცემები აჩვენებს, რომ ბაზა 2024 წლის სექტემბერში შეიქმნა, ხოლო ტრაფიკის აქტიური მონიტორინგი 2025 წლის შუა პერიოდში დაიწყო.

სისტემის მეშვეობით შესაძლებელი გახდა კონკრეტული ავტომობილების გადაადგილების მარშრუტების აღდგენა. მაგალითად, ერთ-ერთი მძღოლის გადაადგილება ექვსი თვის განმავლობაში ფიქსირდებოდა აღმოსავლეთით მდებარე ქალაქ ჩირჩიკიდან დედაქალაქ ტაშკენტამდე და ახლომდებარე დასახლება ეშონგუზარამდე. ეს შემთხვევა ნათლად აჩვენებს, თუ როგორ შეიძლება მსგავსი ეროვნული სისტემების გამოყენება მთელი ქვეყნის მასშტაბით მილიონობით ადამიანის ადგილსამყოფელის დასადგენად.

აღნიშნული ხარვეზი ხაზს უსვამს მასობრივი მონიტორინგის სისტემებთან დაკავშირებულ უსაფრთხოებისა და კონფიდენციალურობის რისკებს. მსგავსი პრობლემები სხვა ქვეყნებშიც ფიქსირდება. მაგალითად, აშშ-ში კომპანია Flock-ის მიერ დაყენებული ათობით კამერა ასევე საჯაროდ ხელმისაწვდომი აღმოჩნდა, რის შესახებაც გამოცემა 404 Media იტყობინებოდა. ანურაგ სენმა უზბეკეთის სისტემის შესახებ დეტალები TechCrunch-ს ამ თვის დასაწყისში გაუზიარა.

სისტემის ტექნიკური მახასიათებლები და მასშტაბები

მკვლევარის მიერ მოწოდებული ინფორმაციით, ბაზა შეიცავს კამერების ზუსტ ლოკაციებს, მილიონობით ფოტოსა და გამავალი ავტომობილების ნედლ ვიდეომასალას. სისტემას მართავს უზბეკეთის შინაგან საქმეთა სამინისტროს საზოგადოებრივი უსაფრთხოების დეპარტამენტი. მიუხედავად მრავალჯერადი მცდელობისა, უწყებას კომენტარი არ გაუკეთებია. ასევე რეაგირების გარეშე დარჩა შეტყობინებები უზბეკეთის კომპიუტერულ ინციდენტებზე რეაგირების ჯგუფთან (UZCERT).

სისტემა იყენებს ჩინური კომპანია Maxvision-ის ტექნოლოგიას, რომელიც მას „ინტელექტუალური ტრაფიკის მართვის სისტემად“ მოიხსენიებს. კომპანიის განცხადებით, მათ კამერებს შეუძლიათ რეალურ დროში დააფიქსირონ ნებისმიერი კანონდარღვევა. Maxvision-ის პროდუქცია ექსპორტირებულია მრავალ ქვეყანაში, მათ შორის ბურკინა-ფასოში, ქუვეითში, ომანში, მექსიკასა და საუდის არაბეთში.

TechCrunch-ის ანალიზმა აჩვენა, რომ კამერები განთავსებულია უზბეკეთის დიდ ქალაქებში, მნიშვნელოვან გზაჯვარედინებსა და სატრანზიტო მარშრუტებზე. GPS კოორდინატების დამუშავების შედეგად გამოვლინდა კამერების დიდი კონცენტრაცია ტაშკენტში, ჯიზახში, ყარშისა და ნამანგანში. ზოგიერთი კამერა სოფლის ტიპის დასახლებებში და ტაჯიკეთის საზღვართან ახლოს, ადრე სადავო ტერიტორიებზეც მდებარეობს.

კამერების ფუნქციონირება და მონაცემთა შეგროვება

ტაშკენტში კამერები ათზე მეტ ლოკაციაზეა დამონტაჟებული და ზოგიერთი მათგანი Google Street View-ზეც კი ჩანს. სისტემაში გამოყენებულია სინგაპურული ბრენდის, Holowits-ის კამერებიც, რომლებიც 4K რეზოლუციით აფიქსირებენ დარღვევებს.

ღია სისტემაში ხელმისაწვდომია ვებ-ინტერფეისი, სადაც ოპერატორებს შეუძლიათ დეტალურად შეისწავლონ დარღვევის ამსახველი კადრები. პანელზე ჩანს როგორც მოახლოებული ავტომობილის ფოტოები, ისე ნედლი ვიდეომასალა. (TechCrunch-მა პუბლიკაციამდე მოახდინა სანომრე ნიშნებისა და მგზავრების იდენტიფიცირებადი მონაცემების დაფარვა).

უსაფრთხოების ხარვეზების პრეცედენტები

უზბეკეთის ეროვნული სისტემის გამჟღავნება საგზაო თვალთვალის კამერებთან დაკავშირებული უსაფრთხოების ხარვეზების მორიგი მაგალითია. მიმდინარე წელს Wired-მა გაავრცელა ინფორმაცია აშშ-ში 150-ზე მეტი მსგავსი მოწყობილობის შესახებ, რომლებიც ინტერნეტში ყოველგვარი დაცვის გარეშე იყო ხელმისაწვდომი.

მსგავსი პრობლემები არ არის ახალი ფენომენი. ჯერ კიდევ 2019 წელს TechCrunch-ი იტყობინებოდა ასობით სანომრე ნიშნის ამომცნობი სისტემის შესახებ, რომლებიც წლების განმავლობაში დაუცველი იყო, მიუხედავად ექსპერტების გაფრთხილებისა სამართალდამცავი უწყებების მიმართ.

რეპორტიორთან უსაფრთხო კავშირისთვის შეგიძლიათ გამოიყენოთ Signal, მომხმარებლის სახელით: zackwhittaker.1337