Büyük bir Çinli Milyonlarca yüz ve araç plakasını saklayan veri tabanı, ağustos ayında sessizce ortadan kaybolmadan önce aylarca internette açıkta kaldı.
İçeriği, yüz tanımanın rutin olduğu ve devlet gözetiminin her yerde olduğu Çin için önemsiz görünse de, açığa çıkan veri tabanının büyüklüğü şaşırtıcı. Zirvede, veritabanı 800 milyondan fazla kayıt tuttu ve Haziran ayında Şanghay polis veritabanından 1 milyar kayıttan oluşan devasa bir veri sızıntısından sonra, ölçek bazında yılın bilinen en büyük veri güvenliği gecikmelerinden birini temsil etti. Her iki durumda da, veriler büyük olasılıkla yanlışlıkla ve insan hatasının bir sonucu olarak ortaya çıktı.
Ortaya çıkan veriler, Çin’in doğu kıyısındaki Hangzhou merkezli Xinai Electronics adlı bir teknoloji şirketine ait. Şirket, Çin genelinde insanların ve araçların işyerlerine, okullara, şantiyelere ve otoparklara erişimini kontrol etmek için sistemler kuruyor. Web sitesi, maaş bordrosu, çalışan katılımını ve performansını izleme gibi personel yönetimi de dahil olmak üzere bina erişiminin ötesinde bir dizi amaç için yüz tanıma kullanımını öne çıkarırken, bulut tabanlı araç plaka tanıma sistemi, sürücülerin gözetimsiz garajlarda park etmek için ödeme yapmasına izin veriyor. personel tarafından uzaktan yönetilmektedir.
Xinai’nin, web sitesinin verilerin sunucularında “güvenli bir şekilde saklandığını” iddia ettiği milyonlarca yüz izi ve plaka biriktirdiği geniş bir kamera ağı aracılığıyla.
Ama değildi.
Güvenlik araştırmacısı Anurag Sen şirketin açıkta kalan veritabanını Çin’de Alibaba tarafından barındırılan bir sunucuda buldu ve TechCrunch’ın güvenlik açığını Xinai’ye bildirmek için yardımını istedi.
Sen, veritabanının gün geçtikçe hızla büyüyen endişe verici miktarda bilgi içerdiğini ve Xinai’ye ait çeşitli alanlarda barındırılan görüntü dosyalarının yüz milyonlarca kaydı ve tam web adreslerini içerdiğini söyledi. Ancak ne veritabanı ne de barındırılan görüntü dosyaları parolalarla korunmuyordu ve nereye bakacağını bilen herhangi biri tarafından web tarayıcısından erişilebilirdi.
Veritabanı, şantiyelere giren inşaat işçileri ve check-in yapan ofis ziyaretçileri de dahil olmak üzere yüzlerin yüksek çözünürlüklü fotoğraflarına ve Çin’in yanıtı olan ikamet kimlik numaraları ile birlikte kişinin adı, yaşı ve cinsiyeti gibi diğer kişisel bilgilere bağlantılar içeriyordu. ulusal kimlik kartları. Veritabanı ayrıca otoparklarda, araba yollarında ve diğer ofis giriş noktalarında Xinai kameraları tarafından toplanan araç plakalarının kayıtlarını da içeriyordu.
Çin genelinde izlenen araç plakalarının fotoğrafları. Resim: TechCrunch (bileşik)
TechCrunch, Xinai’nin kurucusuyla ilişkili olduğu bilinen e-posta adreslerine açıkta kalan veritabanı hakkında birkaç mesaj gönderdi, ancak e-postalarımıza geri dönmedi. Veritabanına Ağustos ortasına kadar erişilemezdi.
Ancak veritabanı açığa çıkarken keşfeden tek kişi Sen değil. Veritabanının içeriğini çaldığını iddia eden bir veri gaspçısının geride bıraktığı tarihsiz bir fidye notu, birkaç yüz dolarlık kripto para karşılığında verileri geri getireceklerini söyledi. Gaspçının herhangi bir veriyi çalıp çalmadığı veya silip silmediği bilinmiyor, ancak fidye notunda bırakılan blok zinciri adresi henüz herhangi bir fon almadığını gösteriyor.
Çin’in gözetleme devleti, özel sektörün derinliklerine yayılarak, polis ve hükümet yetkililerine ülke genelinde insanları ve araçları izlemek için neredeyse sınırsız erişim ve yetenekler sağlıyor. Çin, akıllı şehirlerdeki geniş nüfusunu izlemek için yüz tanıma özelliğini kullanıyor, ancak teknolojiyi, Pekin’in uzun süredir baskı yapmakla suçladığı azınlık nüfuslarının kitlesel gözetimi için de kullanıyor.
Çin geçen yıl, şirketlerin topladığı veri miktarını sınırlamayı amaçlayan, ancak genel olarak polis ve devlet kurumlarını muaf tutan, Avrupa’nın GDPR gizlilik kurallarına eşdeğer olarak görülen ilk kapsamlı veri koruma yasası olan Kişisel Bilgilerin Korunması Yasasını onayladı. Çin’in geniş gözetim devleti.
Ancak şimdi, son aylarda iki toplu veri maruziyeti ile hem Çin hükümeti hem de teknoloji şirketleri, gözetim sistemlerinin topladığı çok miktarda veriyi korumak için kendilerini yetersiz buluyorlar.