توی سرتاسر ازبکستان، شبکه ای از حدود صدتا بانک دوربین های کنار جاده ای با کیفیت بالا، مدام دارن پلاک ماشین ها و سرنشین هاشون رو اسکن می کنن؛ گاهی هزاران مورد در روز، اونم برای پیدا کردن تخلفات رانندگی احتمالی. این نظارت گسترده، بخشی از سیستم نظارتی این کشور است. اخیرا، موضوع افشای سیستم نظارتی ازبکستان حواشی زیادی به دنبال داشته است. چیزایی مثل رد کردن چراغ قرمز، نبستن کمربند ایمنی توسط راننده و رانندگی ماشین های بدون مجوز در شب، فقط چند مورد از تخلفاتی هستن که این سیستم شناسایی می کند.
راننده یکی از ماشین هایی که بیشترین نظارت روش بوده، به مدت شش ماه موقع رفت و آمد بین شهر شرقی چیرچیق، از طریق پایتخت یعنی تاشکند و در شهرک نزدیکی به اسم ایشون گذر، ردیابی شده؛ اونم خیلی وقتا چندین بار در هفته.
ما این رو می دونیم چون این سیستم نظارتی گسترده ردیابی پلاک کشور ازبکستان، بدون هیچ حفاظتی روی اینترنت رها شده و منجر به افشای سیستم نظارتی ازبکستان شده است.
محقق امنیتی، آنوراگ سن، که این حفره امنیتی رو کشف کرده، متوجه شده که سیستم نظارت بر پلاک ها بدون رمز عبور روی اینترنت باز بوده و به هر کسی اجازه می داده به داده های توش دسترسی پیدا کنه. هنوز مشخص نیست این سیستم نظارتی دقیقا از کی عمومی شده، اما شواهد موجود نشون می ده که دیتابیس اون در شهریور 1403 راه اندازی شده و مانیتورینگ ترافیک هم از اواسط 1404 شروع شده.
جزئیات افشای سیستم نظارتی ازبکستان و نحوه عملکرد آن
این اتفاق فرصت کمیابی رو فراهم کرده تا با توجه به افشای سیستم نظارتی ازبکستان، ببینیم سیستم های نظارت ملی پلاک چطوری کار می کنن، چه داده هایی جمع می کنن و چطور می شه ازشون برای ردیابی محل حضور هر کدوم از میلیون ها آدم در کل یک کشور استفاده کرد.
این نشت اطلاعاتی هم زمان با وقتی که ایالات متحده داره شبکه سراسری پلاک خوان های خودش رو (که خیلی هاشون توسط غول نظارتی Flock تامین می شن) گسترش می ده، ریسک های امنیتی و حریم خصوصی نظارت جمعی روی خودروها و صاحباشون رو نشون می ده. این موضوع ما را به یاد چالش های هوش مصنوعی گوگل و حریم خصوصی می اندازد که در آن مرز باریکی بین خدمات هوشمند و نظارت بر داده های شخصی وجود دارد. همین اوایل هفته، خبرگزاری مستقل 404 مدیا گزارش داد که شرکت Flock ده ها دوربین پلاک خوان خودش رو به صورت عمومی روی وب رها کرده بود؛ طوری که یک خبرنگار تونست ردیابی شدن خودش رو به صورت لحظه ای توسط یکی از دوربین های Flock تماشا کنه.
سن گفت که این سیستم نظارتی پلاک ازبکستان رو اوایل همین ماه پیدا کرده و جزئیات این حفره امنیتی رو که منجر به افشای سیستم نظارتی ازبکستان شد، با تک کرانچ در میون گذاشته. سن به تک کرانچ گفت که دیتابیس این سیستم، موقعیت مکانی واقعی دوربین ها رو لو می ده و شامل میلیون ها عکس و ویدیوهای خام دوربین ها از خودروهای در حال عبوره.
این سیستم توسط بخش امنیت عمومی در وزارت امور داخلی ازبکستان در تاشکند اداره می شه که به ایمیل های ارسالی برای توضیح درباره این حفره امنیتی در طول آذر ماه پاسخی ندادن.
نمایندگان دولت ازبکستان در واشینگتن دی.سی و نیویورک هم به ایمیل های تک کرانچ درباره این افشای اطلاعاتی جوابی ندادن. تیم واکنش اضطراری کامپیوتری ازبکستان (UZCERT) هم به هشدارها درباره این سیستم واکنشی نشون نداد، جز یک پاسخ خودکار که فقط دریافت ایمیل رو تایید می کرد.
در زمان نوشتن این گزارش، این سیستم نظارتی، یعنی موضوع افشای سیستم نظارتی ازبکستان، هنوز روی وب باز و در دسترس است.
Maxvision و نقش آن در افشای سیستم نظارتی ازبکستان
این سیستم خودش رو به عنوان یک «سیستم مدیریت هوشمند ترافیک» معرفی می کنه که توسط شرکت Maxvision ساخته شده؛ شرکتی در شنژن چین که سازنده تکنولوژی های ترافیکی متصل به اینترنت، سیستم های بازرسی مرزی و محصولات نظارتیه. نقش این شرکت در افشای سیستم نظارتی ازبکستان در حال بررسی است. در ویدیویی در لینکدین، این شرکت می گه که دوربین هاش می تونن «تمام فرآیند غیرقانونی» رو ضبط کنن و «اطلاعات مربوط به تخلف و عبور و مرور رو به صورت لحظه ای نمایش بدن».
طبق بروشور این شرکت، Maxvision تکنولوژی های امنیتی و نظارتی خودش رو به کشورهای مختلفی در سراسر جهان صادر می کنه، از جمله بورکینافاسو، کویت، عمان، مکزیک، عربستان سعودی و ازبکستان.
در ادامه نقشه ای را مشاهده می کنید که پراکندگی این سیستم های نظارتی را در نقاط مختلف کشور نشان می دهد.
این نقشه به خوبی نشان می دهد که نظارت تنها محدود به پایتخت نبوده و مناطق مرزی را نیز شامل شده است.
تحلیل تک کرانچ از داده های داخل این سیستمِ لو رفته، حداقل صد دوربین رو در شهرهای بزرگ ازبکستان و همچنین تقاطع های شلوغ و مسیرهای ترانزیتی مهم شناسایی کرده.
ما مختصات GPS دوربین ها رو روی نقشه پیاده کردیم و مجموعه ای از پلاک خوان ها رو در تاشکند، شهرهای جیزاخ و قرشی در جنوب، و نمنگان در شرق پیدا کردیم. بعضی از این دوربین ها در مناطق روستایی قرار دارن، مثلا در مسیرهای نزدیک به بخش هایی از مرزهای بین ازبکستان و تاجیکستان که قبلا مورد مناقشه بودن.
دوربین های نظارتی در شهرهای جنوبی مانند قرشی نیز با دقت بالایی مستقر شده اند.
همان طور که در تصویر بالا مشخص است، تقاطع های کلیدی شهر تحت پوشش کامل این سیستم قرار دارند.
تمرکز اصلی این شبکه نظارتی در پایتخت، یعنی شهر تاشکند، کاملا مشهود است.
تراکم بالای نقاط مشخص شده در نقشه تاشکند، شدت کنترل ترافیکی و نظارت بر ترددها را بازگو می کند.
در تاشکند که بزرگترین شهر این کشوره، دوربین ها در بیش از ده نقطه دیده می شن. بعضی از این دوربین ها حتی در قابلیت «نمای خیابان» گوگل (Street View) هم قابل مشاهده هستن.
این دوربین ها که روی ویدیوی بعضی از اون ها نام شرکت سنگاپوری Holowits واترمارک شده، تصاویر ویدیویی و عکس های ثابتی از خودروهایی که قوانین رو نقض می کنن، با کیفیت 4K ثبت می کنن.
تکنولوژی به کار رفته در این دوربین ها توانایی تشخیص دقیق جزئیات خودرو و پلاک آن را در هر شرایطی دارد.
ثبت تخلفات با کیفیت بالا، ابزاری قدرتمند برای ردیابی لحظه ای شهروندان در اختیار دولت قرار داده است.
این سیستمِ لو رفته اجازه دسترسی به رابط کاربری تحت وبش رو می ده که شامل داشبوردیه که به اپراتورها اجازه می ده ویدیوی تخلفات ترافیکی رو بررسی کنن. این داشبورد عکس های بزرگنمایی شده و ویدیوهای خام تخلفات و همچنین خودروهای اطراف رو نمایش می ده. (تک کرانچ قبل از انتشار، شماره پلاک ها و چهره سرنشین ها رو پوشونده.)
رابط کاربری این سیستم که اکنون در دسترس عموم قرار گرفته، عمق فاجعه امنیتی را نشان می دهد.
دسترسی به چنین داشبوردی بدون رمز عبور، به هر کسی اجازه می دهد تا تاریخچه تردد خودروها را به راحتی مشاهده کند.
مورد افشای سیستم نظارتی ازبکستان، جدیدترین نمونه از حفره های امنیتی مربوط به دوربین های نظارت جاده ایه.
اوایل امسال، مجله وایرد (Wired) گزارش داد که بیش از 150 پلاک خوان در سراسر ایالات متحده و داده های لحظه ای خودروهایی که جمع آوری می کردن، بدون هیچ امنیت خاصی روی اینترنت در دسترس بودن.
پلاک خوان های محافظت نشده پدیده جدیدی نیستن. در سال 1398، تک کرانچ گزارش داد که بیش از صد پلاک خوان در اینترنت قابل جستجو و دسترسی بودن و هر کسی می تونست به داده های اون ها دسترسی پیدا کنه. بعضی از اون ها سال ها بود که باز بودن، با وجود اینکه محققان امنیتی به آژانس های اجرای قانون هشدار داده بودن که این سیستم ها از طریق وب قابل دسترسی هستن.
نشت اطلاعاتی اخیر در ازبکستان بار دیگر ضرورت حفاظت از داده های حساس در سیستم های نظارت جمعی را یادآوری کرد. وقتی زیرساخت های ملی بدون تدابیر امنیتی اولیه مانند رمزنگاری بر روی اینترنت رها می شوند، نه تنها امنیت عمومی بلکه اعتماد شهروندان به دولت ها نیز به شدت آسیب می بیند. لزوم بازنگری در قرارداد با شرکت های تامین کننده تکنولوژی و نظارت دقیق بر نحوه ذخیره سازی داده ها، از درس های مهم این اتفاق برای سایر کشورها است.
Inside Uzbekistan’s nationwide license plate surveillance system
