Утечка в системе Maxvision показала хрупкость современных систем видеонаблюдения
Американское издание TechCrunch опубликовало расследование о серьезной утечке данных в системе автоматической фиксации нарушений ПДД в Узбекистане. Согласно материалу, часть национальной платформы «интеллектуального управления дорожным движением» оказалась в открытом доступе в интернете — без каких-либо средств защиты, аутентификации или даже базового пароля.
Исследователь кибербезопасности Анураг Сен обнаружил уязвимость и сообщил, что любой пользователь с минимальными техническими навыками мог получить полный доступ к панели управления. Через нее операторы просматривают материалы нарушений: увеличенные фотографии, видео с камер, данные о транспортных средствах и водителях. TechCrunch перед публикацией скрыл номерные знаки и лица людей на кадрах, чтобы не нарушать конфиденциальность.
Проблема затронула не всю систему фиксации, а лишь компоненты, поставленные китайской компанией Maxvision из Шэньчжэня. Журналисты издания Autostrada выявили около 100 уязвимых камер, тогда как в стране функционируют тысячи устройств наблюдения. Камеры Maxvision установлены в Ташкенте, Джизаке, Карши, Намангане и на ключевых транспортных коридорах, включая участки у границы с Таджикистаном. Некоторые из них даже видны на Google Street View.
Фото: TechCrunchСистема была развернута в сентябре 2024 года, а полноценный мониторинг дорожного движения начался в середине 2025 года. Ответственность за управление возложена на Департамент общественной безопасности Министерства внутренних дел Узбекистана. На кадрах присутствуют водяные знаки сингапурского производителя камер Holowits, что указывает на сложную цепочку международных поставщиков.
Несмотря на запросы TechCrunch, ни МВД Узбекистана, ни его дипломатические представительства в США, ни национальный центр реагирования на киберугрозы UzCERT не предоставили официального комментария. По состоянию на 23 декабря система оставалась доступной извне.
Этот инцидент стал не первым случаем утечки данных ГАИ в Узбекистане. Ранее в открытом доступе оказывался Excel-файл с персональными данными нарушителей: именами, моделями автомобилей и государственными номерами. Однако нынешняя ситуация вышла на качественно новый уровень — речь идет о прямом доступе к системе видеофиксации в реальном времени.
Проблема носит глобальный характер. На прошлой неделе издание 404 Media сообщило, что американская компания Flock, крупнейший поставщик систем видеофиксации в США, также оставила десятки камер без защиты. Журналист без труда отследил собственный автомобиль в прямом эфире. Ранее Wired и TechCrunch многократно находили сотни незащищенных камер по всему миру — некоторые из них годами оставались в открытом доступе, несмотря на предупреждения экспертов.
Узбекская утечка особенно показательна: уязвимость существовала не потому, что защита невозможна, а потому, что за этим никто не следил. Это классический пример халатности в эпоху, когда видеонаблюдение стало повсеместным, но безопасность — второстепенной задачей. Для водителей это напоминание: данные, собранные в момент нарушения, могут оказаться не только в базе ГАИ, но и в руках любого, кто захочет их найти.