Національна система розпізнавання автомобільних номерів в Узбекистані тривалий час працювала фактично у режимі «відкритих дверей»: через інтернет був доступний веб-інтерфейс із записами дорожніх камер, мільйонами фото та відео у 4K-якості і точними координатами кожної камери. Інцидент демонструє, наскільки небезпечними можуть бути інтелектуальні транспортні системи без базових засобів кіберзахисту.
Як виявили витік бази розпізнавання номерів в Узбекистані
Проблему виявив дослідник з інформаційної безпеки Анураг Сен, який повідомив про відкритий доступ журналістам видання TechCrunch. За їхніми даними, база існувала принаймні з вересня 2024 року, а централізована система моніторингу дорожнього руху запрацювала кількома місяцями раніше. Жодної автентифікації не було передбачено: достатньо було відкрити веб-сторінку, щоб отримати повноцінний операторський доступ.
Мережа охоплювала десятки груп дорожніх камер у найбільших містах і на ключових транспортних артеріях. Камери були встановлені у Ташкенті, Джиззаху, Карші, Намангані, а також на міжміських трасах, включно з ділянками біля раніше спірних сегментів кордону з Таджикистаном. Система постійно сканувала номерні знаки, фіксувала водіїв і пасажирів та щоденно реєструвала тисячі порушень: проїзд на червоне, невикористання ременя безпеки, рух незареєстрованих авто тощо.
Які дані опинилися у відкритому доступі та хто відповідає за систему
За словами дослідника, у відкритій базі зберігалися точні GPS-координати всіх камер, а також масиви фото- і відеозаписів проїзду транспортних засобів. Кожен запис супроводжувався детальними метаданими: часом спрацювання, геолокацією, типом порушення, розпізнаним номерним знаком та іншими технічними параметрами.
Поєднання геолокації, високоякісних зображень облич та номерів і точних часових міток перетворює таку базу на інструмент повномасштабного стеження. Будь-хто, маючи доступ до цих даних, може відновлювати маршрути пересування конкретних людей і транспортних засобів з високою точністю, відстежувати регулярні поїздки, місця проживання та роботи.
За експлуатацію платформи відповідає Департамент громадської безпеки МВС Узбекистану. На запити журналістів відомство не надало публічного коментаря. Національний центр реагування на комп’ютерні інциденти UZCERT, за повідомленнями ЗМІ, лише автоматично підтвердив отримання звернення. Система описується як «інтелектуальна система управління трафіком» і створена китайською компанією Maxvision, яка постачає рішення для безпеки та відеоспостереження у країни Близького Сходу, Африки, Латинської Америки та Центральної Азії.
У разі компрометації такого масиву даних зловмисники можуть відстежувати переміщення урядовців, бізнесменів, журналістів або іноземних громадян, планувати супровід чи стеження або, навпаки, оптимізувати маршрути для обходу камер під час підготовки злочинів.
Глобальні уразливості систем розпізнавання номерних знаків
Узбекистанський витік — не поодинокий випадок. За повідомленнями Wired, у США раніше цього року понад 150 камер автоматичного розпізнавання номерів (ANPR/ALPR) були доступні з інтернету без належного захисту. Інше медіа, 404 Media, описувало, як десятки камер великого постачальника Flock опинилися публічно доступними, що дозволило спостерігати рух автомобілів у реальному часі.
Системи ANPR/ALPR активно впроваджуються у межах концепції «розумне місто» для автоматизації штрафів, контролю трафіку та підвищення безпеки. Однак у багатьох впровадженнях функціональність суттєво випереджає рівень кібербезпеки: бази даних підключаються безпосередньо до інтернету, використовуються стандартні конфігурації, відсутня багатофакторна автентифікація та належний мережевий периметр.
Типові технічні помилки, що призводять до витоків
Більшість подібних інцидентів пов’язана не зі складними атаками, а з елементарними прорахунками конфігурації:
— відкриті ззовні веб-панелі керування без авторизації або з заводськими обліковими записами;
— публічний доступ до сховищ і баз даних (наприклад, неправильно налаштовані хмарні бакети чи СУБД);
— відсутність сегментації мережі, коли камери та інтерфейси операторів опиняються в одній зоні з інтернет-шлюзами;
— ігнорування вимог до журналювання й моніторингу доступу, через що інциденти місяцями залишаються непоміченими.
У кейсі з Узбекистаном, судячи з опису, стався саме такий сценарій: повнофункціональний дашборд оператора системи розпізнавання номерних знаків був відкритий напряму через веб-браузер без будь-яких обмежень.
Як захистити національні системи відеоспостереження та «розумний» транспорт
Щоб мінімізувати ризики, державні органи й оператори інтелектуальних транспортних систем мають поєднувати організаційні та технічні заходи. На рівні політик безпеки потрібні обов’язкові вимоги до кіберзахисту критичних систем спостереження, регулярні аудити й тестування на проникнення, оцінка впливу на приватність (Privacy Impact Assessment) та чіткі строки зберігання й анонімізації даних.
На технічному рівні ключовими є такі практики кібербезпеки:
— розміщення панелей управління та баз даних виключно у внутрішніх сегментах мережі, доступ до яких здійснюється через VPN із багатофакторною автентифікацією;
— застосування принципу найменших привілеїв для операторів та сервісних акаунтів;
— шифрування трафіку й сховищ, використання сучасних протоколів (наприклад, TLS 1.2/1.3) та сертифікованих криптозасобів;
— своєчасне оновлення прошивок камер і серверного програмного забезпечення з оперативним закриттям відомих уразливостей;
— постійний моніторинг експонованих сервісів та автоматичні сповіщення при появі відкритих портів, панелей управління чи «зайвих» інтернет-доступів.
Історія з відкритою базою розпізнавання номерних знаків в Узбекистані показує: кожна нова «розумна» камера — це не лише інструмент контролю трафіку, а й потенційна точка входу для кібератак та масового стеження. Чим масштабніші та централізованіші такі системи, тим дорожче обходяться помилки конфігурації. Державам, виробникам рішень і операторам варто переглянути власні системи відеоспостереження вже зараз: провести аудит, закрити непотрібні інтернет-доступи, увімкнути багатофакторний захист і запровадити підхід security by design на етапі проєктування. Це дозволить скористатися перевагами «розумної» інфраструктури, не перетворюючи її на загальнодоступний інструмент стеження та джерело масштабних витоків даних.
