Исследователь безопасности Anurag Sen нашел масштабную систему распознавания номерных знаков в Узбекистане, к которой можно получить доступ через веб-интерфейс без пароля. База, судя по артефактам внутри, была создана в сентябре 2024 года, а мониторинг движения начался в середине 2025 года.
TechCrunch при проверке обнаружил в системе миллионы снимков и сырые видеопотоки прохожих машин, многие записи идут в 4K, а у камер есть GPS-координаты и водяные знаки производителей. Исследователь сумел проследить передвижения одного из самых фиксируемых автомобилей в течение шести месяцев — от Чирчика через Ташкент до Эшонгузара, иногда по нескольку раз в неделю.
Что именно было открыто
Веб-интерфейс идентифицирует развертывание как "intelligence traffic management system" производства Maxvision из Шэньчжэня. В подсказках производителя видно, что камеры умеют записывать "весь нелегальный процесс" и показывать информацию в реальном времени. В брошюрах Maxvision фигурируют экспортные поставки в ряд стран, в том числе в Узбекистан.
Карта с GPS-координатами показывает как минимум около ста камер по крупным городам и ключевым трассам: Ташкент, Джиззах, Карши, Наманган и сельские участки у некогда спорного участка границы с Таджикистаном. В Ташкенте камеры видны более чем в десятке точек, некоторые устройства можно найти и на Google Street View.
Кто отвечает и как реагировали власти
Система, по данным из интерфейса, эксплуатируется Департаментом общественной безопасности при Министерстве внутренних дел Узбекистана в Ташкенте. TechCrunch отправлял запросы в министерство и представителям Узбекистана в Вашингтоне и Нью-Йорке, но в декабре не получил содержательных ответов. Узбекская команда реагирования на компьютерные инциденты UZCERT ответила лишь автоматическим подтверждением. На момент написания статьи система оставалась доступной в сети.
Контекст и предыстория
Это не единичный случай. Раннее в этом году Wired писал о более чем 150 считывателях номерных знаков в США, открытых в сеть, а 404 Media обнаружил, что один из крупных поставщиков Flock оставил десятки камер публично доступными — репортер смог отслеживать себя в реальном времени. TechCrunch также отмечал похожие экспозиции еще в 2019 году, когда более сотни считывателей были доступны из интернета и оставались так годами, несмотря на предупреждения.
Почему это важно
Открытый доступ к таким системам дает любому в сети возможность просматривать миллионы фотографий, видеозаписей и реальные координаты камер. Это значит, что передвижения людей можно проследить по стране, а не только за отдельные инциденты. В масштабах национальной системы это не просто утечка данных — это инструмент тотального слежения, который при неправильной защите превращается в угрозу приватности и безопасности.
- Дата создания базы: сентябрь 2024 года.
- Мониторинг движения начат: середина 2025 года.
- Охват: примерно 100 групп камер по ключевым городам и трассам.
- Форматы: миллионы фото, 4K видео, GPS-координаты камер.
- Производители в кадре: Maxvision и камеры с водяными знаками Holowits.
Тренд и куда это ведет индустрию
Паттерн повторяется: государства и городские службы быстро развертывают системы наблюдения, а безопасность конфигурации отходит на второй план. Сначала демонстрируют работу и эффект, затем выясняется, что инфраструктура выставлена в открытый доступ. Это говорит о том, что индустрия наблюдения еще не прошла фазу взросления безопасности: нужны обязательные аудиты развертываний, прозрачность по поставщикам и механизмы независимой проверки конфигураций.
Параллельно растет внимание к цепочке поставок: камеры и софт, которые экспортируются из других стран, становятся точкой уязвимости для систем безопасности. В ближайшие 6-12 месяцев можно ожидать усиления спроса на инструменты сканирования открытых интерфейсов и на процессы обязательного шифрования и аутентификации при запуске таких систем.
Что это значит для разработчиков и администраторов
Если вы работаете с системами видеонаблюдения или интегрируете внешние устройства, это сигнал: простой публичный доступ или дефолтные настройки — это не приемлемо. Нужно проверять доступность интерфейсов, внедрять аутентификацию по умолчанию, логирование доступа и шифрование потоков. Нельзя менять демонстрацию системы ради скорости развертывания — последствия могут коснуться миллионов людей.
В конце концов, история с Узбекистаном — не про одну страну или конкретный вендор. Это про системную проблему безопасности развертываний массового наблюдения. Индустрия встает на этап, где конфигурация и аудит важнее, чем демонстрационные возможности. Если этого не понять сейчас, подобных историй будет еще больше.
