Redactie - 30 april 2020

Uitgelekte logs van ANPR-camera's maakt reisgedrag Britten inzichtelijk

Het dashboard van de ANPR-camera's in het Britse Sheffield stond lange tijd openbaar. Daardoor waren miljoenen registraties van voorbijrijdende voertuigen door iedereen raadpleegbaar.

Het gaat om 8,6 miljoen logs afkomstig van zo'n honderd ANPR-camera's in Sheffield. Die bevatte nummerplaten die op bepaalde tijdstippen en locaties doorheen de stad zijn gefilmd, zo ontdekte The Register op aangeven van securityexpert Chris Kubecka en freelance schrijver Gerard Janssen.

Het dashboard in kwestie was te openen door simpelweg het IP-adres van de server in te geven in een browser. Er was geen login of andere authenticatie nodig om de bijna negen miljoen gegevens in te kijken. Daardoor was het voor vrijwel iedereen mogelijk om autoritten van inwoners en passanten in kaart te brengen.

Ruwe beelden

The Register liet het systeem verder bestuderen door een securityexpert. Die stelt dat het ook mogelijk was om de camera's te hernoemen en hun metadata, zoals hun uniek identificatienummer of informatie over hun positie, te wijzigen. Ook was er een link naar de online opslag waar de ruwe beelden van de ANPR-camera's werden bewaard. Die was wel beveiligd, maar enkel met een wachtwoord waarbij het mogelijk is om verschillende combinaties van wachtwoorden te blijven proberen.

Hoe lang het dashboard publiekelijk toegankelijk was en hoe lang de data over de voertuigen teruggaat is niet bekend. Maar het dashboard zelf is sinds november 2018 in gebruik. De ANPR-camera's hangen er sinds 2014. Ze worden vooral gebruikt ter controle van een lokale lage emissiezone.

In een reactie aan The Register zegt de voorzitter van de National ANPR Independant Advisory Group dat het incident zal worden onderzocht en dat er wordt gekeken waar er fouten zijn gemaakt.

De autoriteiten van Sheffield zeggen aan de Britse IT-website dat ze gezamenlijke verantwoordelijkheid nemen. "Het is onaanvaardbaar dat dit is gebeurd. Maar het is belangrijk om duidelijk te stellen dat voor zover we weten, niemand schade is overkomen of nadelige gevolgen heeft gehad door deze inbreuk." Het dashboard werd kort na de melding door The Register offline gehaald.

In samenwerking met Datanews

Trend Micro BW BN week 10-11-13-14-2024 Copaco | BW 25 maart tm 31 maart 2024
Trend Micro BW BN week 10-11-13-14-2024

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!