Популярный американский производитель автомобильных регистраторов Nexar подвергся масштабной утечке данных. Хакер взломал облачное хранилище компании и получил доступ к десяткам терабайт видео с камер пользователей, которые Nexar продвигает как «виртуальные камеры наблюдения». Полученные видео, переданные журналистам 404 Media, показывают людей в их автомобилях — в интимных и личных моментах, не подозревающих, что за ними может кто-то наблюдать: родитель укачивает ребёнка, человек поёт под радио, кто-то ведёт видеозвонок.
На одном из видео, по данным издания, видно, как водитель направляется к штабу ЦРУ, другие кадры с публичной карты Nexar показывают проезд мимо объектов Минобороны США. Помимо самих записей, хакер также получил внутренний список компаний и агентств, взаимодействовавших с Nexar и её бизнесом по продаже фотографий и данных с регистраторов.
Камера в машине как риск безопасности
Хакер рассказал, что получил доступ к базе Nexar в Amazon Web Services (AWS), содержащей более 130 терабайт записей и GPS-данных. Проблема заключалась в том, что в каждую камеру Nexar был встроен ключ с избыточными правами доступа — с его помощью можно было не только загружать собственные данные, но и читать чужие. Nexar устранила уязвимость после обращения журналистов. По словам технического директора и сооснователя компании Бруно Фернандеса-Руиса, эти записи были личными резервными копиями пользователей.
Один из продуктов Nexar — CityStream, публичная карта с размытыми изображениями с регистраторов. Компания отмечает на ней дорожные знаки, повреждения дороги и другие детали, предлагая организациям купить доступ к большему объёму данных. Все три пользователя Nexar, с которыми поговорили журналисты, признались, что не знали о публикации их кадров.
Хакер также взломал корпоративный аккаунт Nexar в Atlassian (сервис Jira, Trello и пр.) и получил документ с перечнем организаций, имевших доступ к данным Nexar. Среди них оказались Apple, Microsoft, Amazon, Google, разработчик Pokémon Go, компания Niantic, транспортные фирмы Waymo и Lyft, а также города Лос-Анджелес и Остин. Некоторые организации использовали продукт Virtual Cam, позволяющий просматривать историю изображений с конкретной локации.
В списке также значится «IDF» (ЦАХАЛ, Армия обороны Израиля), как организация с доступом к данным внутри Израиля. В Nexar это отрицают:
«Мы не работаем с израильскими военными», — заявил технический директор.
Комментариев от ЦАХАЛ не поступило. Штаб-квартира Nexar расположены в Тель-Авиве и Нью-Йорке.
Реальная угроза конфиденциальности
Среди видеозаписей — съёмки внутри машин, включая поездки рядом с базами ВВС США где базируются стратегические объекты. В одном случае камера запечатлела въезд к штаб-квартире ЦРУ, а затем момент, когда водитель снимает регистратор с панели.
В отдельном ролике показано, как другой водитель такси берёт пассажиров. Лица всех участников хорошо различимы. Многие другие кадры — это просто проезд по улицам и автомагистралям.
Microsoft подтвердила, что рассматривала возможность использования данных Nexar для картографирования до марта 2023 года, но не пошла дальше оценки. Amazon тоже изучала Nexar ради повышения безопасности водителей, но отказалась от сотрудничества. Apple заявила, что не заключала никаких соглашений с Nexar. Google отказалась комментировать. Lyft, Waymo и Niantic не ответили.
Связи с правоохранителями
В базе Nexar также указано, что полиция Нью-Йорка (NYPD) имела доступ к продукту Virtual Cam. Представитель ведомства сказал, что NYPD не имеет формального контракта с Nexar и не покупала у неё данные. Однако он не стал отвечать на вопросы о возможных неофициальных контактах.
Недавние научные работы также поднимали вопрос о приватности. Исследователи показали, что даже при размытии лиц и номеров можно определить, к примеру, принадлежность человека к NYPD по жилету с надписью. Это, по их мнению, делает «анонимизацию» неэффективной.
В ответ на скандал в Nexar подчеркнули, что соблюдают «строгие протоколы конфиденциальности» и что доступ к персональным данным пользователей запрещён.
Ещё по теме: