Por dentro do sistema nacional de vigilância de placas de veículos do Uzbequistão

Em todo o Uzbequistão, uma rede de cerca de uma centena de câmaras rodoviárias de alta resolução analisa continuamente as matrículas dos veículos e os seus ocupantes, por vezes milhares por dia, em busca de potenciais infrações de trânsito. Carros com sinal vermelho; motoristas que não usam cinto de segurança; e veículos não licenciados circulando à noite, para citar alguns.

O motorista de um dos veículos mais vigiados do sistema foi rastreado durante seis meses enquanto viajava entre a cidade oriental de Chirchiq, passando pela capital Tashkent, e no assentamento próximo de Eshonguzar, muitas vezes várias vezes por semana.

Sabemos disso porque o amplo sistema de vigilância de rastreamento de placas de veículos do país ficou exposto à Internet.

Pesquisador de segurança Anurag Senque descobriu a falha de segurança, encontrou o sistema de vigilância de placas exposto online sem senha, permitindo que qualquer pessoa tivesse acesso aos dados contidos nele. Não está claro há quanto tempo o sistema de vigilância é público, mas artefactos do sistema mostram que a sua base de dados foi criada em Setembro de 2024 e a monitorização do tráfego começou em meados de 2025.

A exposição oferece um raro vislumbre de como funcionam esses sistemas nacionais de vigilância de matrículas, dos dados que recolhem e de como podem ser utilizados para rastrear o paradeiro de qualquer um dos milhões de pessoas num país inteiro.

O lapso também revela os riscos de segurança e privacidade associados à monitorização em massa de veículos e dos seus proprietários, numa altura em que os Estados Unidos estão a construir a sua gama nacional de leitores de matrículas, muitos dos quais são fornecidos pelo gigante da vigilância Flock. No início desta semana, o meio de comunicação independente 404 Media informou que a Flock deixou dezenas de suas próprias câmeras de leitura de placas expostas publicamente na web, permitindo que um repórter veja-se sendo rastreado em tempo real por uma câmera Flock.

Sen disse que encontrou o sistema de vigilância de placas uzbeque exposto no início deste mês e compartilhou detalhes da falha de segurança com o TechCrunch. Sen disse ao TechCrunch que o banco de dados do sistema revela a localização real das câmeras e contém milhões de fotos e vídeos brutos de veículos que passam.

O sistema é administrado pelo Departamento de Segurança Pública do Ministério de Assuntos Internos do Uzbequistão, em Tashkent, que não respondeu aos e-mails solicitando comentários sobre a falha de segurança durante o mês de dezembro.

Representantes do governo uzbeque em Washington DC e Nova York também não responderam aos e-mails do TechCrunch sobre a exposição. A equipe de prontidão para emergências informáticas do Uzbequistão, UZCERT, não respondeu a um alerta sobre o sistema, exceto uma resposta automática confirmando o recebimento do nosso e-mail.

O sistema de vigilância permanece exposto na web no momento em que este artigo foi escrito.

O sistema refere-se a si mesmo como um “sistema de gestão de tráfego de inteligência” da Maxvision, um fabricante de tecnologias de tráfego conectado à Internet, sistemas de inspeção de fronteiras e produtos de vigilância com sede em Shenzhen, na China. Em um vídeo no LinkedIna empresa afirma que suas câmeras podem registrar “todo o processo ilegal” e “exibir informações ilegais e passageiras em tempo real”.

De acordo com seu folhetoa Maxvision exporta sua tecnologia de segurança e vigilância para países de todo o mundo, incluindo Burkina Faso, Kuwait, Omã, México, Arábia Saudita e Uzbequistão.

A análise dos dados dentro do sistema exposto do TechCrunch revelou pelo menos uma centena de câmeras localizadas nas principais cidades do Uzbequistão, bem como cruzamentos movimentados e outras rotas de trânsito importantes.

Traçamos as coordenadas GPS das câmeras e encontramos bancos de leitores de placas em Tashkent, nas cidades de Jizzakh e Qarshi, no sul, e em Namangan, no leste. Algumas das câmeras estão localizadas em áreas rurais, como em rotas próximas ao partes das fronteiras outrora disputadas entre o Uzbequistão e o Tajiquistão.

Em Tashkent, a maior cidade do país, as câmeras podem ser encontradas em mais de uma dezena de locais. Algumas dessas câmeras são visíveis até no Google Street View.

As câmeras, algumas com marca d’água em suas imagens com o nome do fabricante de câmeras de Cingapura Holowits, capturam imagens de vídeo e imagens estáticas de veículos violando as regras em resolução 4K.

O sistema exposto permite acesso à sua interface baseada na web, que contém um painel que permite aos operadores examinar imagens de infrações de trânsito. O painel contém fotos ampliadas e vídeos brutos de violações, bem como veículos ao redor. (O TechCrunch redigiu as placas e os ocupantes dos veículos antes da publicação.)

A exposição do sistema nacional de leitura de matrículas do Uzbequistão é o exemplo mais recente de uma falha de segurança envolvendo câmaras de vigilância rodoviária.

No início deste ano, Com fio relatado que mais de 150 leitores de placas nos Estados Unidos e os dados de veículos em tempo real que eles coletam foram expostos à Internet sem qualquer segurança.

Leitores de placas expostos não são um fenômeno novo. Em 2019, o TechCrunch relatou que mais de cem leitores de placas eram pesquisáveis ​​e acessíveis na Internet, permitindo que qualquer pessoa acessasse os dados contidos neles. Alguns tinham esteve exposto durante anosapesar dos pesquisadores de segurança alertarem as agências de aplicação da lei que esses sistemas poderiam ser acessados ​​pela web.

Para entrar em contato com este repórter com segurança, você pode entrar em contato usando o Signal através do nome de usuário: zackwhittaker.1337