Em apenas 20 minutos, esta manhã, um sistema automatizado de reconhecimento de placas (ALPR) em Nashville, Tennessee, capturou fotografias e informações detalhadas de quase 1.000 veículos enquanto eles passavam. Entre eles: oito Jeep Wranglers pretos, seis Honda Accords, uma ambulância e um Ford Fiesta amarelo com placa personalizada.
Este conjunto de dados de veículos em tempo real, coletados por um dos sistemas ALPR da Motorola, deve ser acessível às autoridades. No entanto, uma falha descoberta por um investigador de segurança expôs transmissões de vídeo ao vivo e registos detalhados de veículos que passavam, revelando a escala impressionante de vigilância possibilitada por esta tecnologia generalizada.
Mais de 150 câmeras ALPR da Motorola expuseram seus feeds de vídeo e vazaram dados nos últimos meses, de acordo com o pesquisador de segurança Matt Brown, que primeiro divulgou os problemas em uma série de Vídeos do YouTube depois de comprar uma câmera ALPR no eBay e fazer engenharia reversa dela.
Além de transmitirem imagens ao vivo acessíveis a qualquer pessoa na Internet, as câmeras mal configuradas também expuseram dados coletados, incluindo fotos de carros e registros de placas. Os feeds de vídeo e dados em tempo real não exigem nomes de usuário ou senhas para acesso.
Ao lado outros tecnólogosa WIRED revisou feeds de vídeo de várias câmeras, confirmando que os dados do veículo – incluindo marcas, modelos e cores dos carros – foram acidentalmente expostos. A Motorola confirmou as revelações, dizendo à WIRED que estava trabalhando com seus clientes para fechar o acesso.
Na última década, milhares de câmeras ALPR apareceram em vilas e cidades dos EUA. As câmeras, fabricadas por empresas como Motorola e Flock Safety, tiram fotos automaticamente ao detectar um carro passando. As câmeras e os bancos de dados de dados coletados são frequentemente usados pela polícia para procurar suspeitos. As câmeras ALPR podem ser colocadas ao longo de estradas, nos painéis de carros de polícia e até mesmo em caminhões. Essas câmeras capturam bilhões de fotos de carros – incluindo ocasionalmente adesivos de para-choque, placas de gramado e camisetas.
“Cada um deles que encontrei exposto estava em um local fixo em alguma estrada”, disse Brown, que dirige a empresa de segurança cibernética Brown Fine Security, à WIRED. O vídeo exposto alimenta cada um cobrindo uma única faixa de tráfego, com carros passando pelo campo de visão da câmera. Em alguns riachos, a neve está caindo. Brown encontrou dois fluxos para cada sistema de câmera exposto, um colorido e outro infravermelho.
Em termos gerais, quando um carro passa por uma câmera ALPR, uma fotografia do veículo é tirada e o sistema usa aprendizado de máquina para extrair o texto da placa. Isso é armazenado junto com detalhes como onde a fotografia foi tirada, a hora, bem como metadados como marca e modelo do veículo.
Brown diz que as imagens das câmeras e os dados dos veículos provavelmente foram expostos porque não foram configurados em redes privadas, possivelmente pelas autoridades policiais que os implantaram, e em vez disso foram expostos à Internet sem qualquer autenticação. “Foi mal configurado. Não deveria ser aberto na internet pública”, diz ele.
A WIRED testou a falha analisando fluxos de dados de 37 endereços IP diferentes aparentemente vinculados a câmeras da Motorola, abrangendo mais de uma dúzia de cidades nos Estados Unidos, de Omaha, Nebraska, até a cidade de Nova York. Em apenas 20 minutos, essas câmeras registraram a marca, o modelo, a cor e as placas de quase 4.000 veículos. Alguns carros foram capturados várias vezes – até três vezes em alguns casos – ao passarem por câmeras diferentes.
