Lỗ hổng trực tuyến của hệ thống camera giám sát biển số xe

Theo dữ liệu thu thập được từ chuyên gia bảo mật, một phương tiện nằm trong diện bị giám sát nhiều nhất đã bị theo dõi suốt sáu tháng, khi di chuyển liên tục giữa thành phố Chirchiq ở phía đông, thủ đô Tashkent và khu dân cư Eshonguzar lân cận, với tần suất nhiều lần mỗi tuần.

Những thông tin này bị lộ ra ngoài internet do hệ thống giám sát biển số quốc gia của Uzbekistan không được bảo vệ bằng mật khẩu.

Chiếc xe bị giám sát liên tục 6 tháng ở Uzbekistan. Ảnh TechCrunch

Nhà nghiên cứu bảo mật Anurag Sen – người phát hiện lỗ hổng cho biết hệ thống này được công khai trực tuyến, cho phép bất kỳ ai cũng có thể truy cập dữ liệu bên trong. Hiện chưa rõ hệ thống đã bị lộ trong bao lâu, song các dấu vết kỹ thuật cho thấy cơ sở dữ liệu được thiết lập từ tháng 9/2024 và hoạt động giám sát giao thông bắt đầu từ giữa năm 2025.

Sự cố này hé lộ phương thức vận hành của các hệ thống giám sát biển số xe ở quy mô quốc gia, loại dữ liệu mà hệ thống thu thập, cũng như khả năng theo dõi hành trình của hàng triệu người trên phạm vi toàn lãnh thổ.

Đồng thời, vụ việc cũng cho thấy những rủi ro nghiêm trọng về an ninh và quyền riêng tư khi các hệ thống giám sát phương tiện được triển khai đại trà nhưng thiếu biện pháp bảo mật phù hợp.

Tương tự như Uzbekistan, Mỹ cũng đang mở rộng mạng lưới camera giám sát biển số xe trên toàn quốc, trong đó nhiều hệ thống do tập đoàn giám sát Flock cung cấp. Trước đó không lâu, trang tin độc lập 404 Media từng phản ánh sự cố hàng chục camera của Flock bị lộ trên internet, cho phép phóng viên theo dõi chính mình theo thời gian thực.

Cơ quan chức năng không phản hồi, lỗ hổng bảo mật vẫn tồn tại

Anurag Sen cho biết ông phát hiện hệ thống giám sát biển số của Uzbekistan bị lộ vào đầu tháng này và đã cung cấp thông tin cho TechCrunch. Theo ông, cơ sở dữ liệu không chỉ tiết lộ vị trí thực tế của các camera, mà còn chứa hàng triệu hình ảnh và video thô ghi lại các phương tiện lưu thông.

Hệ thống này do Bộ phận An ninh Công cộng thuộc Bộ Nội vụ Uzbekistan, đặt trụ sở tại Tashkent, vận hành. Tuy nhiên, cơ quan này không phản hồi các email yêu cầu bình luận về lỗ hổng bảo mật trong suốt tháng 12. Đại diện chính phủ Uzbekistan tại Washington và New York cũng không phản hồi. Đội ứng cứu khẩn cấp máy tính quốc gia UZCERT chỉ gửi thư trả lời tự động xác nhận đã nhận được cảnh báo.

Ảnh và video một chiếc xe trong hệ thống giám sát biển số xe Uzbekistan. Ảnh TechCrunch

Tại thời điểm bài viết được đăng tải, hệ thống vẫn tiếp tục bị lộ trên internet.

Hệ thống giám sát thông minh, dữ liệu nhạy cảm nhưng không bảo mật

Theo thông tin nội bộ, hệ thống tự mô tả là một “nền tảng quản lý giao thông thông minh” do Maxvision – công ty công nghệ giám sát và giao thông kết nối internet có trụ sở tại Thâm Quyến (Trung Quốc) phát triển. Trong một video đăng trên LinkedIn, Maxvision cho biết camera của họ có thể ghi lại “toàn bộ quá trình vi phạm” và “hiển thị thông tin vi phạm và lưu thông theo thời gian thực”.

Tài liệu giới thiệu của Maxvision cho thấy công ty xuất khẩu công nghệ giám sát và an ninh sang nhiều quốc gia, bao gồm Burkina Faso, Kuwait, Oman, Mexico, Saudi Arabia và Uzbekistan.

Phân tích của TechCrunch đối với dữ liệu trong hệ thống bị lộ cho thấy có ít nhất hơn 100 camera được triển khai tại các thành phố lớn của Uzbekistan, cũng như tại các nút giao thông quan trọng và tuyến đường huyết mạch.

Dữ liệu tọa độ GPS cho thấy camera được đặt tại Tashkent, các thành phố Jizzakh và Qarshi ở phía nam, Namangan ở phía đông, thậm chí cả những khu vực nông thôn, gần các tuyến đường sát vùng biên giới từng có tranh chấp giữa Uzbekistan và Tajikistan.

Riêng tại Tashkent, hệ thống ghi nhận hơn một chục điểm đặt camera, trong đó một số vị trí có thể quan sát được trên Google Street View.

Các camera – một số có gắn watermark của hãng Holowits (Singapore) ghi lại hình ảnh và video vi phạm giao thông với độ phân giải 4K.

Hệ thống bị lộ cho phép truy cập giao diện web nội bộ, bao gồm bảng điều khiển để xem chi tiết các vi phạm giao thông, với ảnh phóng to biển số, video gốc và hình ảnh các phương tiện xung quanh. TechCrunch cho biết đã làm mờ biển số và hình ảnh người trong xe trước khi công bố.

Vụ việc tại Uzbekistan là minh chứng mới nhất cho hàng loạt sự cố an ninh liên quan đến camera giám sát giao thông. Đầu năm nay, Wired từng đưa tin hơn 150 thiết bị đọc biển số tại Mỹ cùng dữ liệu phương tiện theo thời gian thực cũng bị công khai trên internet mà không có biện pháp bảo vệ.

Thực tế, các hệ thống đọc biển số bị lộ không phải hiện tượng mới. Năm 2019, TechCrunch từng phát hiện hơn 100 hệ thống tương tự có thể bị truy cập công khai, trong đó nhiều hệ thống đã bị lộ suốt nhiều năm dù các nhà nghiên cứu bảo mật liên tục cảnh báo cơ quan thực thi pháp luật.

An Lâm (Theo Tech Crunch)