Bu sabah sadece 20 dakika içinde Nashville, Tennessee’deki otomatik plaka tanıma (ALPR) sistemi, yanından geçen yaklaşık 1000 aracın fotoğraflarını ve ayrıntılı bilgilerini yakaladı. Bunların arasında sekiz siyah Jeep Wrangler, altı Honda Accord, bir ambulans ve gösteriş plakalı sarı bir Ford Fiesta vardı.
Motorola’nın ALPR sistemlerinden biri tarafından toplanan bu gerçek zamanlı araç verileri hazinesinin kolluk kuvvetleri tarafından erişilebilir olması amaçlanıyor. Ancak bir güvenlik araştırmacısı tarafından keşfedilen bir kusur, canlı video yayınlarını ve geçen araçların ayrıntılı kayıtlarını ortaya çıkararak, bu yaygın teknolojinin mümkün kıldığı gözetimin şaşırtıcı boyutunu ortaya çıkardı.
eBay’den bir ALPR kamera satın alıp ters mühendislik yaptıktan sonra sorunları ilk kez bir dizi YouTube videosuyla duyuran güvenlik araştırmacısı Matt Brown’a göre, son aylarda 150’den fazla Motorola ALPR kamerasının video beslemeleri ve sızdırılan verileri açığa çıktı.
Yanlış yapılandırılmış kameralar, internetteki herkesin erişebileceği canlı görüntüleri yayınlamanın yanı sıra, araba fotoğrafları ve plaka kayıtları da dahil olmak üzere topladıkları verileri de açığa çıkardı. Gerçek zamanlı video ve veri akışlarına erişim için herhangi bir kullanıcı adı veya şifre gerekmez.
WIRED, diğer teknoloji uzmanlarının yanı sıra birçok kameradan gelen video yayınlarını inceledi ve otomobillerin markaları, modelleri ve renkleri dahil olmak üzere araç verilerinin kazara açığa çıktığını doğruladı. Motorola, WIRED’e erişimi kapatmak için müşterileriyle birlikte çalıştığını söyleyerek ifşaları doğruladı.
Son on yılda ABD genelindeki kasaba ve şehirlerde binlerce ALPR kamerası ortaya çıktı. Motorola ve Flock Safety gibi firmaların ürettiği kameralar, yoldan geçen bir arabayı algıladığında otomatik olarak fotoğraf çekiyor. Kameralar ve toplanan verilerin veritabanları polis tarafından şüphelileri aramak için sıklıkla kullanılıyor. ALPR kameraları yol kenarlarına, polis arabalarının kontrol panellerine ve hatta kamyonlara yerleştirilebilir. Bu kameralar ara sıra tampon çıkartmaları, çim tabelaları ve tişörtler de dahil olmak üzere milyarlarca araba fotoğrafı çekiyor.
Siber güvenlik şirketi Brown Fine Security’yi yöneten Brown, WIRED’e “Açık bulduğum her biri bir karayolu üzerinde sabit bir konumdaydı” dedi. Açığa çıkan video yayınlarının her biri, kameranın görüş alanından geçen arabalarla birlikte tek bir trafik şeridini kapsıyor. Bazı derelerde kar yağıyor. Brown, maruz kalan her kamera sistemi için biri renkli, diğeri kızılötesi olmak üzere iki akış buldu.
Genel olarak, bir araba bir ALPR kamerasını geçtiğinde aracın bir fotoğrafı çekilir ve sistem, plakadan metin çıkarmak için makine öğrenimini kullanır. Bu, fotoğrafın çekildiği yer, saat gibi ayrıntıların yanı sıra aracın markası ve modeli gibi meta verilerle birlikte saklanır.
Brown, kamera yayınlarının ve araç verilerinin, muhtemelen bunları konuşlandıran kolluk kuvvetleri tarafından özel ağlarda kurulmadığından ve bunun yerine herhangi bir kimlik doğrulaması olmadan internete açık olduğundan muhtemelen ifşa edildiğini söyledi. “Yanlış yapılandırılmış. Kamuya açık internette açık olmamalı” diyor.
WIRED, Omaha, Nebraska’dan New York City’ye kadar Amerika Birleşik Devletleri’nde bir düzineden fazla şehri kapsayan, Motorola kameralarına bağlı olduğu anlaşılan 37 farklı IP adresinden gelen veri akışlarını analiz ederek kusuru test etti. Bu kameralar sadece 20 dakika içinde 4.000’e yakın aracın marka, model, renk ve plaka bilgilerini kaydetti. Hatta bazı arabalar, farklı kameralardan geçerken birçok kez (bazı durumlarda üç defaya kadar) görüntülendi.