Em apenas 20 minutos esta manhã, um sistema automatizado de reconhecimento de placas de veículos (ALPR) em Nashville, Tennessee, capturou fotografias e informações detalhadas de quase 1.000 veículos que passaram. Entre eles: oito Jeep Wranglers pretos, seis Honda Accords, uma ambulância e um Ford Fiesta amarelo com uma placa personalizada.
Esse tesouro de dados de veículos em tempo real, coletado por um dos sistemas ALPR da Motorola, é destinado a ser acessível pela lei. No entanto, uma falha descoberta por um pesquisador de segurança expôs transmissões de vídeo ao vivo e registros detalhados de veículos que passam, revelando a impressionante escala de vigilância possibilitada por essa tecnologia amplamente utilizada.
Mais de 150 câmeras ALPR da Motorola expuseram suas transmissões de vídeo e vazaram dados nos últimos meses, de acordo com o pesquisador de segurança Matt Brown, que primeiro divulgou os problemas em uma série de vídeos no YouTube após comprar uma câmera ALPR no eBay e reverter sua engenharia.
Além de transmitir imagens ao vivo acessíveis a qualquer pessoa na internet, as câmeras mal configuradas também expuseram dados que coletaram, incluindo fotos de carros e registros de placas. As transmissões de vídeo e dados em tempo real não exigem nomes de usuário ou senhas para acesso.
Junto com outros tecnólogos, a WIRED revisou transmissões de vídeo de várias das câmeras, confirmando que dados de veículos — incluindo marcas, modelos e cores de carros — foram acidentalmente expostos. A Motorola confirmou as exposições, dizendo à WIRED que estava trabalhando com seus clientes para fechar o acesso.
Ao longo da última década, milhares de câmeras ALPR apareceram em cidades e vilarejos nos EUA. As câmeras, que são fabricadas por empresas como Motorola e Flock Safety, tiram automaticamente fotos quando detectam um carro passando. As câmeras e bancos de dados de dados coletados são frequentemente usados pela polícia para procurar suspeitos. As câmeras ALPR podem ser colocadas ao longo de estradas, nos painéis de carros de polícia e até mesmo em caminhões. Essas câmeras capturam bilhões de fotos de carros — incluindo ocasionalmente adesivos de para-choque, placas de jardim e camisetas.
“Cada uma delas que encontrei exposta estava em uma localização fixa sobre alguma estrada”, diz Brown, que dirige a empresa de cibersegurança Brown Fine Security, à WIRED. As transmissões de vídeo expostas cobrem cada uma uma única faixa de tráfego, com carros passando pela visão da câmera. Em algumas transmissões, a neve está caindo. Brown encontrou duas transmissões para cada sistema de câmera exposto, uma em cores e outra em infravermelho.
De forma ampla, quando um carro passa por uma câmera ALPR, uma fotografia do veículo é tirada e o sistema usa aprendizado de máquina para extrair texto da placa. Isso é armazenado junto com detalhes como onde a fotografia foi tirada, a hora, bem como metadados como a marca e o modelo do veículo.
Brown diz que as transmissões de câmera e os dados dos veículos provavelmente foram expostos porque não foram configurados em redes privadas, possivelmente por órgãos da lei que os implantaram, e em vez disso foram expostos à internet sem qualquer autenticação. “Foi mal configurado, não deveria estar aberto na internet pública”, diz ele.
A WIRED testou a falha analisando fluxos de dados de 37 endereços IP aparentemente ligados a câmeras Motorola, abrangendo mais de uma dúzia de cidades nos Estados Unidos, de Omaha, Nebraska, a Nova York, Nova York. Em apenas 20 minutos, essas câmeras registraram a marca, modelo, cor e placas de quase 4.000 veículos. Alguns carros foram até capturados várias vezes — até três vezes em alguns casos — à medida que passavam por diferentes câmeras.