Sólo de 20 Esta mañana, un sistema de reconocimiento automático de matrículas (ALPR) en Nashville, Tennessee, capturó fotografías e información detallada de casi 1.000 vehículos a su paso. Entre ellos: ocho Jeep Wrangler negros, seis Honda Accord, una ambulancia y un Ford Fiesta amarillo con placa de tocador.
Las autoridades pueden acceder a este tesoro de datos de vehículos en tiempo real recopilados por uno de los sistemas ALPR de Motorola. Sin embargo, una falla descubierta por un investigador de seguridad expuso transmisiones de video en vivo y registros detallados de los vehículos que pasaban, revelando la asombrosa escala de vigilancia que permite esta tecnología omnipresente.
Según el investigador de seguridad Matt Brown, en los últimos meses se han filtrado datos y transmisiones de vídeo de más de 150 cámaras ALPR de Motorola. vídeo de youtube Después de comprar una cámara ALPR en eBay y realizarle ingeniería inversa.
Además de transmitir imágenes en vivo accesibles a cualquier persona a través de Internet, las cámaras mal configuradas también revelan los datos que recopilan, incluidas fotografías de vehículos y registros de matrículas. No se requiere nombre de usuario ni contraseña para acceder a transmisiones de datos y videos en tiempo real.
así como Otros técnicosWIRED revisó las transmisiones de video de varias cámaras y confirmó que los datos del vehículo, incluida la marca, el modelo y el color del vehículo, quedaron expuestos accidentalmente. Motorola confirmó la exposición y le dijo a Wired que estaba trabajando con sus clientes para detener el acceso.
Durante la última década, han aparecido miles de cámaras ALPR en ciudades y pueblos de todo Estados Unidos. Las cámaras, fabricadas por empresas como Motorola y Flock Safety, toman fotografías automáticamente cuando detectan un vehículo que pasa. La policía suele utilizar las cámaras y las bases de datos de la información recopilada para localizar a los sospechosos. Las cámaras ALPR se pueden colocar al costado de la carretera, en el tablero de los autos de policía e incluso en camiones. Estas cámaras capturan miles de millones de fotografías de automóviles, que a veces incluyen calcomanías en los parachoques, letreros en el césped y camisetas.
Brown, que dirige la empresa de ciberseguridad Brown Fine Security, dijo a Wired: “Cada uno de los que he expuesto estaba en un lugar específico de alguna carretera. La transmisión de video abierta cubre cada carril de tráfico, con autos moviéndose a través de la vista de la cámara. En algunos arroyos está nevando. Brown encontró dos transmisiones para cada sistema de cámara expuesto, una en color y otra en infrarrojos.
Básicamente, cuando un automóvil pasa por una cámara ALPR, se toma una fotografía del automóvil y el sistema utiliza el aprendizaje automático para extraer el texto de la matrícula. Esto se almacena junto con detalles como dónde se tomó la fotografía, la hora y metadatos como la marca y el modelo del vehículo.
Brown dijo que la transmisión de la cámara y los datos del vehículo probablemente estuvieron expuestos porque no fueron configurados en redes privadas, probablemente implementadas por agencias policiales, sino que fueron expuestos a Internet sin ninguna autenticación. “Está mal configurado. No debería estar abierto en la Internet pública”, dijo.
Wired probó la falla analizando flujos de datos de 37 direcciones IP diferentes aparentemente vinculadas a cámaras Motorola en más de una docena de ciudades de EE. UU., desde Omaha, Nebraska hasta la ciudad de Nueva York. En sólo 20 minutos, esas cámaras registran la marca, modelo, color y matrícula de casi 4.000 vehículos. Algunos coches incluso fueron capturados varias veces (en algunos casos hasta tres veces) mientras pasaban por diferentes cámaras.
