Brytyjska sieć supermarketów Tesco zamknęła swoją aplikację internetową do sprawdzania poprawności parkowania po tym, jak The Register odkrył dziesiątki milionów niepewnych obrazów automatycznego rozpoznawania tablic rejestracyjnych (ANPR) w obiekcie blob Microsoft Azure.
Same zdjęcia składały się ze zdjęć samochodów zrobionych wjeżdżających i wyjeżdżających z 19 parkingów firmy w całym kraju. Na zdjęciach nie było widać kierowców tych pojazdów, ale ich numery rejestracyjne były.
Obiekt blob Azure, który obsługiwał zewnętrzną aplikację internetową firmy Tesco do sprawdzania poprawności, nie miał kontroli logowania ani uwierzytelniania i był w pełni dostępny. Firma przyznała w protokołach, że te obrazy ze znacznikiem czasu zostały ujawnione podczas migracji danych.
Ranger Services, które obsługiwało obiekt blob Azure dla aplikacji internetowej Tesco, nadal bada zakres naruszenia. Firma dzwoni obecnie do GroupNexus po niedawnej fuzji z operatorem parkingowym CP Plus.
Materiał ANPR na wyświetlaczu
Obiekt blob platformy Azure zawierał obrazy ANPR na żywo zapisane jako pliki JPEG ze znacznikiem czasu. W nazwach plików obrazów zawarta była także godzina parkowania samochodu przez klientów. Każdy, kto potrafi poprawnie zrozumieć format wymaganego żądania HTTP POST, mógł zebrać obrazy zbiorcze w celu nielegalnego wykorzystania.
Rzecznik Tesco w następujący sposób wyjaśnił, co stało się z rejestrem:
„Problem techniczny z aplikacją parkingową spowodował, że przez krótki czas dostępne były zdjęcia i historyczne godziny wjazdu i wyjazdu samochodów na nasze parkingi. Chociaż nie są dostępne żadne zdjęcia osób ani wrażliwe dane, jakiekolwiek naruszenie bezpieczeństwa jest niedopuszczalne i dlatego wyłączyliśmy aplikację na czas współpracy z naszym usługodawcą, aby upewnić się, że taka sytuacja się nie powtórzy. Więcej.”
Według firmy obiekt blob Azure pozostał otwarty podczas planowanej migracji danych do jeziora danych AWS. Zostało już zabezpieczone, ale Tesco nie chce zdradzać, jak długo jest otwarte.
Ponieważ Tesco zakupiło usługi monitorowania parkingów od strony trzeciej, spółka stwierdziła, że Tesco jest odpowiedzialne za ochronę danych gromadzonych i przechowywanych zgodnie z prawem.
Poprzez rejestr