A kínaiak több millió megfigyelt ember adatait felejtették a neten
További Tech-Tudomány cikkek
- NMHH-kutatás: a gyakori tiktokozás ronthatja az álhírfelismerési készségeinket
- AI-jal generált dalokat botokkal hallgattatva keresett napi egymillió forintot egy „zenész”
- Őskori halakat találtak Connecticutban
- Bejelentették, mennyibe kerülnek az új iPhone-ok
- Nem a hatóságok, hanem drónok szállnak ki elsőként a segélyhívások helyszínére egy amerikai városban
Az már korábban is tudott volt, hogy a hivatalosan terrorcselekmények elkövetésével vádolt, 12 és 65 év közötti muszlim vallású ujgurokat a Kínát behálózó térfigyelő kamerák képeit monitorozó algoritmusok segítségével figyelik. A mesterséges intelligencia felismeri arca alapján az embert, és rögtön hozzákapcsolja tartózkodási helyét az állami adatbázisokban őrzött lakcímkártya- és személyiigazolvány-adataihoz. Ha az illető 300 méternél jobban megközelíti a kockázatosnak ítélt helyeket, a rendszer azonnal riasztja a hatóságokat.
Az ujgurokról őrzött arcfelismerési és személyes adatokat viszont - természetszerűleg - nem szándékoztak nyilvánosságra hozni.
Csakhogy a múlt héten a holland GDI alapítvány kutatója, Victor Gevers a Shodan keresőmotor segítségével rátalált az adatbázisra, amelyet a kínai kormány egyik alvállalkozója, a videóalapú tömeganalízissel foglalkozó SenceNets hagyott a szerverén úgy, hogy letöltéséhez még csak azonosítás sem szükségeltetett. Az adatbázis hihetetlen mennyiségű adatpontot tartalmaz ujgurok millióiról. Nem szeretnénk a SenseNets vezetőinek helyében lenni, amikor a kínai titkosszolgálat kérdőre vonja őket az elképesztő hibáért.
Az adatbázis a hozzáférés pillanatában 2 565 724 ember adatait tartalmazta, és a pozíciójukat jelölő GPS-adatok folyamatosan érkeztek be, így az adatbázis percről-percre hízik. Emellett gyakorlatilag minden elképzelhető adatuk megtalálható benne a munkahelyüktől és lakcímüktől kezdve a fotóikig, nemükig. A kiberbiztonsági szakértő szerint nem ő volt az első, aki illetéktelenül látogatta az adatbázis, hiszen az elmúlt hónapokban a világ számos országából léptek be, és töltöttek le belőle adatokat.
Vagyis az adatbázis nemcsak hogy messzemenőkig etikátlan, elnyomó céllal készült, de még kutyaütő módon is kezelték, és csak az nem fért hozzá, aki nem akart.
A Techcrunch elemzője szerint ez az adatszivárgási fiaskó mindenkinek figyelmeztetésül kell szolgáljon, aki abban a hiszemben ringatja magát, hogy egy milliók megfigyelésén alapuló elnyomó államot flottul lehet menedzselni. Egy ilyen nagyszabású műveletet még a kínai kormány sem tud egyedül kivitelezni, így a munka dandárja alvállalkozóknál jelentkezik. Emiatt ők szükségképpen hozzájutnak a legszenzitívebb adatokhoz is, amire időnként nem képesek vigyázni.
Victor Gevers szerint egyébként a művelet grandiózusságához, és a kínai állam szinte végtelen forrásaihoz képest a SenseNets teljesen amatőr módon kezeli ezeket az adatokat. A hozzáférés azért vált lehetővé, mert az adatbázisok beállításánál elfelejtettek kipipálni néhány rubrikát. Miután az első hírek elterjedtek az adatszivárgásról, a SenseNets biztonságba helyezte az adatait, de pár nappal később véletlenül megint közzétette azokat, amint Gevers froclizó tweetjéből is kiderül:
Dear operators of SenseNets.
— Victor Gevers (@0xDUDE) 2019. február 17.
It's a good thing you starting update that crappy Windows Server 2012 (which is pirated btw). But you switched off the firewall exposing your MongoDB and MySQL server AGAIN. 🤗 pic.twitter.com/WAeLsctDQQ
Kedves SenseNets operátorok!
Remek dolog, hogy frissíteni kezdtétek azt a csapnivaló Windows Server 2012-t (amelyet egyébként loptatok). De eközben lekapcsoltátok a tűzfalat, ezáltal a MongoDB és a MySQL-szerver újra hozzáférhetővé vált.
Az elemzők szerint nincs olyan, ilyen mértékben centralizált adatbázis, amely ne jelente biztonsági időzített bombát. A kiberbűnözők számára egy ilyen adatbázis, amelyben az emberek millióinak összes elképzelhető adatát tárolják, valóságos terült, terülj asztalkám, így
időt és energiát nem kímélve fogják támadni, amíg kiskaput nem találnak.
A kormányok, sőt egész államok sem képesek ilyen hatalmas megfigyelőrendszert úgy üzemeltetni, hogy annak működése ne váljon villámgyorsan átláthatatlanná - még a tulajdonosok számára is. Ily módon pedig a hibákat is lehetetlenség idejében megtalálni.
Forrás: Techcrunch
(Borítókép: kínai katonák és ujgur nők Urumqiban. Fotó: Peter Parks / AFP.)