Обичате ли да пеете глупави песни в колата? Поздравления, вашият видеорегистратор вече е продал тези кадри на корпорациите
Едно от най-големите приключвания на информация през последните години след офанзивата против Nexar.
Хакерската офанзива против Nexar, прочут производител на автомобилни видеорегистратори, се оказа едно от най-големите приключвания на персонални данни през последните години. Организацията популяризираше своите устройства като мрежа от виртуални системи за наблюдаване: записът от всяко пътешестване можеше да се употребява освен от притежателя, само че и да се включи в продуктите на компанията, налични за трети страни. В резултат на хакерската офанзива бяха компрометирани повече от 130 терабайта видео и маркери за геолокация, качени от свързани с услугата устройства.
Хакерът е дал някои от получените файлове на публицистите от издателство 404 Media за удостоверение. Клиповете демонстрират подиуми от всекидневието: родител в салона успокоява дете, мъж си подсвирква претекст на музика, различен пасажер поддържа връзка посредством Facetime. В някои фрагменти записващото устройство е снимало пътя към постройката на Централно разузнавателно управление на САЩ, както и коли наоколо до обекти на Министерството на защитата на Съединени американски щати. Кадрите допълват така и така рисковите практики на компанията – пътни знаци с нечетливи изображения, недостатъци по настилката и друга информация са оповестени на обществената карта на CityStream, а трима консуматори признават, че даже не са знаели за риска от сходно намерено откриване.
Атакуващият съобщи, че е получил достъп до облачното вместилище на Amazon Web Services с помощта на токен, вграден във всяко устройство. Този токен е имал прекомерно необятни права: той е разрешавал освен качването на персонални записи, само че и изтеглянето на непознатите архиви. Nexar затвори уязвимостта едвам откакто уведоми публицистите. Съоснователят и основен механически шеф Бруно Фернандес-Руис изясни, че става въпрос за частни аварийни копия на клиентите. Самият хакер разказа системата като „ призрачен сън за неприкосновеността на персоналния живот “ и добави, че проникването в нея е лишило към два часа.
Освен достъп до облака, нападателят проникнал и в Atlassian-инстанцията на компанията, където се съхранявал листата с сътрудниците. Документите включват Apple, Гугъл, Microsoft, Amazon, транспортните услуги Lyft и Waymo, разработчика на Pokémon Go Niantic, както и общините Лос Анджелис и Остин. Списъкът включва и организацията IDF, посочена като адресат на данни на територията на Израел. Ръководството на Nexar отхвърли да си сътрудничи с Израелските сили за защита, а военните чиновници не дадоха отговор.
Особено място измежду продуктите на компанията заема Virtual Cam – услуга, която разрешава да се избере точка на картата и да се види поредност от изображения от нея на разнообразни дати. В демонстрационен видеоклип платформата сподели улица в Ню Йорк с опция за приплъзване на времето обратно. На процедура тя разрешава да се построи последователност на събитията за обещано място. Подобна логичност е употребена в CityStream, която разгласява систематизирани данни за пътната инфраструктура.
Някои организации потвърдиха контактите си с Nexar. Microsoft съобщи, че изследва потреблението на изображенияъс за картографски задания до март 2023 година, само че планът не е минал оттатък рамките на оценката. Преди няколко години Amazon тества сходни данни за възстановяване на сигурността на водачите и отхвърли да се интегрира в тази услуга. Apple съобщи, че не е осъществила партньорство. Гугъл акцентира, че употребява изображения на трети страни за актуализиране на картите, само че не разяснява съответната връзка. Waymo и Lyft резервираха безмълвие, а Niantic отхвърли да разяснява.
Flock Safety, компания, която дава данни на митническите и имиграционните служби на Съединени американски щати, също беше посочена в документите. Flock е посочена като компания, която има световен достъп до продуктите на Nexar. Говорител на Flock съобщи, че няма интеграция и клиентите нямат достъп до взаимните артикули. Фернандес-Руис съобщи, че достъпът е стеснен единствено до анонимна информация.
Изследователите обаче от дълго време предизвестяват за рисковете даже от размиване на лица и числа. В документа от юни се отбелязва, че високата компактност на масивите и напредъкът в технологиите за машинно образование дават опция да се дефинира дали обещано лице принадлежи към избрана група. Даден е образец с размито изображение на полицейски чиновник, който въпреки всичко може да бъде разпознат по светлоотразителната му жилетка. Полицията на Ню Йорк също е посочена измежду получателите на виртуални камери в изтеклите материали. Говорител на отдела съобщи, че няма формален контракт и не са закупувани данни от Nexar, само че отхвърли да отговори на въпрос за вероятни неофициални контакти.
Особена угриженост провокират фрагментите от военните обекти. Сред тях са военновъздушната база „ Уайтман “ в Мисури, където са основани стратегическите бомбардировачи Б-2, и „ Офът “ в Небраска, където се намира щабът на Стратегическото командване. В един от видеозаписите е сниман автомобил, който стопира на пътя към централата на Централно разузнавателно управление на САЩ, а в края му притежателят смъква записващото устройство от таблото. Представители на Централно разузнавателно управление на САЩ и Военновъздушни сили не са коментирали разпоредбите за потребление на персонални устройства от чиновниците и посетителите.
В преписка с кореспонденти Фернандес-Руис увери, че Nexar се придържа към строгите протоколи за отбрана на персоналните данни и не споделя персонални данни. Въпреки това самият факт, че хранилището е било компрометирано, мащабът на приключването и съществуването на обекти със стратегическо значение в записите слагат под въпрос успеваемостта на тези уверения.
