أغلقت سلسلة محلات السوبر ماركت البريطانية تيسكو تطبيق ويب التحقق من صحة مواقف السيارات بعد السجل اكتشف عشرات الملايين من صور التعرف التلقائي على لوحة الأرقام (ANPR) التي تركت غير آمنة في فقاعة Microsoft Azure.
كانت الصور نفسها تتكون من صور للسيارات التي التقطت عند دخولها وتركت 19 من مواقف السيارات للشركة منتشرة في جميع أنحاء البلاد. بينما لم يكن سائقو هذه المركبات مرئيين في الصور ، إلا أن أرقام لوحاتهم كانت واضحة.
لم يكن لبلاط Azure الذي قام بتشغيل تطبيق الويب للتحقق من وقوف السيارات في Tesco ، أي عناصر تحكم تسجيل الدخول أو المصادقة وكان يمكن الوصول إليه تمامًا. اعترفت الشركة ل السجل ترك هذه الصور ذات الطابع الزمني مكشوفة أثناء تمرين ترحيل البيانات.
لا تزال Ranger Services ، التي تشغّل blise Azure لتطبيق الويب Tesco ، تحقق في مدى الانتهاك. تسمى الشركة الآن GroupNexus بعد اندماجها الأخير مع شركة سي بي بلس المنافسة للسيارات.
تعرض الصور ANPR
احتوت نقطة ظهور Azure على صور ANPR حية تم تخزينها على شكل ملفات JPEG ذات طابع زمني ، كما تم تضمين الوقت الذي كان يتوقّف فيه العملاء في سياراتهم ضمن أسماء ملفات الصور. يمكن لأي شخص قادر على معرفة تنسيق طلب HTTP POST المطلوب أن يحصد الصور بكميات كبيرة للاستخدام غير المشروع.
وأوضح متحدث باسم تيسكو ما حدث ل السجل، قائلا:
"تعني مشكلة فنية تتعلق بتطبيق وقوف السيارات أنه يمكن الوصول إلى الصور التاريخية وأوقات السيارات التي تدخل وتخرج من مواقف السيارات لفترة قصيرة. في حين لا توجد صور لأشخاص ، ولا تتوفر أي بيانات حساسة ، فإن أي خرق أمني غير مقبول وقد قمنا الآن بتعطيل التطبيق ونحن نعمل مع مزود الخدمة لدينا للتأكد من أنه لن يحدث مرة أخرى. "
وفقًا للشركة ، تم ترك النقطة Azure مفتوحة أثناء تمرين مخطط له لترحيل البيانات إلى بحيرة بيانات AWS. تم تأمينه منذ ذلك الحين ، لكن Tesco لن تكشف عن المدة التي تركت فيها.
منذ أن اشترت Tesco خدمات مراقبة مواقف السيارات من طرف ثالث ، تقول الشركة إن الطرف الثالث كان مسؤولاً عن حماية البيانات التي جمعتها وتخزينها بموجب القانون.
عبر السجل
