Het dashboard van de ANPR-camera’s in het Britse Sheffield stond lange tijd openbaar. Daardoor waren miljoenen registraties van voorbijrijdende voertuigen door eender raadpleegbaar.
Het gaat om 8,6 miljoen logs afkomstig van zo’n honderd ANPR-camera’s in Sheffield. Die bevatte nummerplaten die op bepaalde tijdstippen en locaties doorheen de stad zijn gefilmd, zo ontdekte The Register op aangeven van securityexpert Chris Kubecka en freelance schrijver Gerard Janssen.
Het dashboard in kwestie was te openen door simpelweg het IP-adres van de server in te geven in een browser. Er was geen login of andere authenticatie nodig om de bijna negen miljoen gegevens in te kijken. Daardoor was het voor vrijwel iedereen mogelijk om autoritten van inwoners en passanten in kaart te brengen.
Ruwe beelden
The Register liet het systeem verder bestuderen door een securityexpert. Die stelt dat het ook mogelijk was om de camera’s te hernoemen en hun metadata, zoals hun uniek identificatienummer of informatie over hun positie, te wijzigen. Ook was er een link naar de online opslag waar de ruwe beelden van de ANPR-camera’s werden bewaard. Die was wel beveiligd, maar enkel met een wachtwoord waarbij het mogelijk is om verschillende combinaties van wachtwoorden te blijven proberen.
Hoe lang het dashboard publiek stond en hoe lang de data over de voertuigen teruggaat is niet bekend. Maar het dashboard zelf is sinds november 2018 in gebruik. De ANPR-camera’s hangen er sinds 2014. Ze worden vooral gebruikt ter controle van een lokale lage emissie zone.
In een reactie aan The Register zegt de voorzitter van de National ANPR Independant Advisory Group dat het incident zal worden onderzocht en dat er wordt gekeken waar er fouten zijn gemaakt.
De autoriteiten van Sheffield zeggen aan de Britse IT-website dat ze gezamelijke verantwoordelijkheid nemen. “Het is onaanvaardbaar dat dit is gebeurd. Maar het is belangrijk om duidelijk te stellen dat voor zover we weten, niemand schade is overkomen of nadelige gevolgen heeft gehad door deze inbreuk.” Het dashboard werd kort na de melding door The Register offline gehaald.
Fout opgemerkt of meer nieuws? Meld het hier