- 20,328
- 46
- 8 Ноя 2022
Одна из крупнейших утечек за последние годы после атаки на компанию Nexar.
Хакерская атака на компанию Nexar, известного производителя автомобильных регистраторов, обернулась одной из самых масштабных утечек персональных данных последних лет. Организация продвигала свои устройства как сеть виртуальных систем наблюдения: запись каждой поездки могла быть использована не только владельцем, но и включена в продукты компании, доступные сторонним структурам. В результате взлома оказались скомпрометированы более 130 терабайт видеоматериалов и геолокационных меток, выгруженных с подключённых к сервису приборов.
Часть полученных файлов хакер передал журналистам 404 Media для подтверждения. На роликах заметны сцены из повседневной жизни: родитель в салоне успокаивает ребёнка, мужчина насвистывает мотив под музыку, другой пассажир общается через Facetime. В некоторых фрагментах регистратор фиксировал дорогу к зданию ЦРУ, а также автомобили у объектов Министерства обороны США. Эти материалы дополняют и без того рискованную практику компании — на публичной карте CityStream публиковались размытые снимки с дорожными знаками, дефектами покрытия и другой информацией, а три пользователя признались, что даже не подозревали о такой открытой выкладке.
Злоумышленник заявил, что получил доступ к облачному хранилищу Amazon Web Services благодаря ключу, встроенному в каждое устройство. Этот токен обладал слишком широкими правами: позволял не только загружать личные записи, но и скачивать чужие архивы. Nexar закрыла уязвимость лишь после уведомления журналистов. Сооснователь и технический директор Бруно Фернандес-Руис пояснил, что речь шла о приватных резервных копиях клиентов. Сам хакер охарактеризовал систему как «кошмар для приватности» и добавил, что на проникновение ушло около двух часов.
Помимо доступа к облачному бакету, атакующий проник и в Atlassian-инстанс компании, где хранился перечень партнёров. В документах значились корпорации Apple, Google, Microsoft, Amazon, транспортные сервисы Lyft и Waymo, разработчик игры Pokémon Go Niantic, а также муниципалитеты Лос-Анджелеса и Остина. В списке фигурировала и организация IDF, указанная как получатель данных по территории Израиля. Руководство Nexar опровергло сотрудничество с Армией обороны Израиля, а представители военного ведомства не дали ответа.
Среди продуктов фирмы особое место занимал Virtual Cam — сервис, позволявший выбрать точку на карте и просмотреть последовательность изображений с неё в разные даты. В демонстрационном видео платформа показывала улицу Нью-Йорка с возможностью отмотать время назад. На практике это позволяло строить хронологию событий по заданной локации. Схожая логика применялась в CityStream, где публиковались агрегированные данные о дорожной инфраструктуре.
Часть организаций подтвердила контакты с Nexar. Microsoft сообщила, что до марта 2023 года изучала применение изображений для картографических задач, но проект не продвинулся дальше оценки. Amazon несколько лет назад тестировала данные ради повышения безопасности водителей и отказалась от интеграции. Apple заявила, что сотрудничества не было. Google подчеркнула, что использует сторонние изображения для обновления карт, но не прокомментировала конкретные отношения. Waymo и Lyft промолчали, а Niantic отказалась от комментариев.
В документах фигурировала и Flock Safety — компания, предоставляющая данные таможенной и миграционной службе США. В списке было указано, что Flock имеет глобальный доступ к продуктам Nexar. Представитель Flock заявил, что интеграция отсутствует, а у клиентов нет доступа к совместным продуктам. По словам Фернандеса-Руиса, доступ был ограничен исключительно обезличенной информацией.
Однако исследователи давно предупреждали о рисках даже при размытии лиц и номеров. В июньской работе отмечалось, что высокая плотность массива и развитие технологий машинного обучения позволяют определять принадлежность человека к определённой группе. В пример приводился кадр с размытым полицейским, которого всё равно можно было опознать по светоотражающему жилету. В материалах утечки NYPD также значился среди получателей Virtual Cam. Представитель департамента сообщил, что формального контракта нет и данные у Nexar не закупались, но отказался отвечать на вопрос о возможных неформальных контактах.
Особую обеспокоенность вызвали кадры с военными объектами. Среди них — авиабаза Уайтмен в Миссури, где базируются стратегические бомбардировщики B-2, и Оффатт в Небраске, штаб-квартира Стратегического командования. На одном из видео запечатлён автомобиль, въезжающий на дорогу к штаб-квартире ЦРУ, а в конце владелец снимает регистратор с панели. ЦРУ и представители ВВС не дали комментариев о правилах использования личных устройств персоналом или посетителями.
В переписке с журналистами Фернандес-Руис заверил, что Nexar придерживается строгих протоколов конфиденциальности и не передаёт персонально идентифицируемые данные. Однако сам факт компрометации хранилища, масштаб утечки и присутствие в записях объектов стратегического значения ставят под сомнение эффективность этих гарантий.
Хакерская атака на компанию Nexar, известного производителя автомобильных регистраторов, обернулась одной из самых масштабных утечек персональных данных последних лет. Организация продвигала свои устройства как сеть виртуальных систем наблюдения: запись каждой поездки могла быть использована не только владельцем, но и включена в продукты компании, доступные сторонним структурам. В результате взлома оказались скомпрометированы более 130 терабайт видеоматериалов и геолокационных меток, выгруженных с подключённых к сервису приборов.
Часть полученных файлов хакер передал журналистам 404 Media для подтверждения. На роликах заметны сцены из повседневной жизни: родитель в салоне успокаивает ребёнка, мужчина насвистывает мотив под музыку, другой пассажир общается через Facetime. В некоторых фрагментах регистратор фиксировал дорогу к зданию ЦРУ, а также автомобили у объектов Министерства обороны США. Эти материалы дополняют и без того рискованную практику компании — на публичной карте CityStream публиковались размытые снимки с дорожными знаками, дефектами покрытия и другой информацией, а три пользователя признались, что даже не подозревали о такой открытой выкладке.
Злоумышленник заявил, что получил доступ к облачному хранилищу Amazon Web Services благодаря ключу, встроенному в каждое устройство. Этот токен обладал слишком широкими правами: позволял не только загружать личные записи, но и скачивать чужие архивы. Nexar закрыла уязвимость лишь после уведомления журналистов. Сооснователь и технический директор Бруно Фернандес-Руис пояснил, что речь шла о приватных резервных копиях клиентов. Сам хакер охарактеризовал систему как «кошмар для приватности» и добавил, что на проникновение ушло около двух часов.
Помимо доступа к облачному бакету, атакующий проник и в Atlassian-инстанс компании, где хранился перечень партнёров. В документах значились корпорации Apple, Google, Microsoft, Amazon, транспортные сервисы Lyft и Waymo, разработчик игры Pokémon Go Niantic, а также муниципалитеты Лос-Анджелеса и Остина. В списке фигурировала и организация IDF, указанная как получатель данных по территории Израиля. Руководство Nexar опровергло сотрудничество с Армией обороны Израиля, а представители военного ведомства не дали ответа.
Среди продуктов фирмы особое место занимал Virtual Cam — сервис, позволявший выбрать точку на карте и просмотреть последовательность изображений с неё в разные даты. В демонстрационном видео платформа показывала улицу Нью-Йорка с возможностью отмотать время назад. На практике это позволяло строить хронологию событий по заданной локации. Схожая логика применялась в CityStream, где публиковались агрегированные данные о дорожной инфраструктуре.
Часть организаций подтвердила контакты с Nexar. Microsoft сообщила, что до марта 2023 года изучала применение изображений для картографических задач, но проект не продвинулся дальше оценки. Amazon несколько лет назад тестировала данные ради повышения безопасности водителей и отказалась от интеграции. Apple заявила, что сотрудничества не было. Google подчеркнула, что использует сторонние изображения для обновления карт, но не прокомментировала конкретные отношения. Waymo и Lyft промолчали, а Niantic отказалась от комментариев.
В документах фигурировала и Flock Safety — компания, предоставляющая данные таможенной и миграционной службе США. В списке было указано, что Flock имеет глобальный доступ к продуктам Nexar. Представитель Flock заявил, что интеграция отсутствует, а у клиентов нет доступа к совместным продуктам. По словам Фернандеса-Руиса, доступ был ограничен исключительно обезличенной информацией.
Однако исследователи давно предупреждали о рисках даже при размытии лиц и номеров. В июньской работе отмечалось, что высокая плотность массива и развитие технологий машинного обучения позволяют определять принадлежность человека к определённой группе. В пример приводился кадр с размытым полицейским, которого всё равно можно было опознать по светоотражающему жилету. В материалах утечки NYPD также значился среди получателей Virtual Cam. Представитель департамента сообщил, что формального контракта нет и данные у Nexar не закупались, но отказался отвечать на вопрос о возможных неформальных контактах.
Особую обеспокоенность вызвали кадры с военными объектами. Среди них — авиабаза Уайтмен в Миссури, где базируются стратегические бомбардировщики B-2, и Оффатт в Небраске, штаб-квартира Стратегического командования. На одном из видео запечатлён автомобиль, въезжающий на дорогу к штаб-квартире ЦРУ, а в конце владелец снимает регистратор с панели. ЦРУ и представители ВВС не дали комментариев о правилах использования личных устройств персоналом или посетителями.
В переписке с журналистами Фернандес-Руис заверил, что Nexar придерживается строгих протоколов конфиденциальности и не передаёт персонально идентифицируемые данные. Однако сам факт компрометации хранилища, масштаб утечки и присутствие в записях объектов стратегического значения ставят под сомнение эффективность этих гарантий.
- Источник новости
- www.securitylab.ru
