Un chino masivo La base de datos que almacenaba millones de rostros y matrículas de vehículos quedó expuesta en Internet durante meses antes de que desapareciera silenciosamente en agosto.
Si bien su contenido puede parecer anodino para China, donde el reconocimiento facial es una rutina y la vigilancia estatal es omnipresente, el tamaño de la base de datos expuesta es asombroso. En su apogeo, la base de datos contenía más de 800 millones de registros, lo que representa uno de los mayores fallos de seguridad de datos conocidos del año por escala, después de una fuga masiva de datos de 1.000 millones de registros de una base de datos de la policía de Shanghái en junio. En ambos casos, los datos probablemente se expusieron sin darse cuenta y como resultado de un error humano.
Los datos expuestos pertenecen a una empresa de tecnología llamada Xinai Electronics con sede en Hangzhou, en la costa este de China. La empresa construye sistemas para controlar el acceso de personas y vehículos a lugares de trabajo, escuelas, obras de construcción y estacionamientos en toda China. Su sitio web promociona el uso del reconocimiento facial para una variedad de propósitos más allá del acceso al edificio, incluida la gestión de personal, como la nómina, el control de la asistencia y el rendimiento de los empleados, mientras que su sistema de reconocimiento de matrículas de vehículos basado en la nube permite a los conductores pagar el estacionamiento en garajes desatendidos que son gestionados por el personal de forma remota.
Es a través de una vasta red de cámaras que Xinai ha acumulado millones de huellas faciales y placas de matrícula, y su sitio web afirma que los datos están «almacenados de forma segura» en sus servidores.
Pero no fue así.
investigador de seguridad anurag sen encontró la base de datos expuesta de la compañía en un servidor alojado por Alibaba en China y solicitó la ayuda de TechCrunch para informar el fallo de seguridad a Xinai.
Sen dijo que la base de datos contenía una cantidad alarmante de información que crecía rápidamente día a día e incluía cientos de millones de registros y direcciones web completas de archivos de imágenes alojados en varios dominios propiedad de Xinai. Pero ni la base de datos ni los archivos de imágenes alojados estaban protegidos por contraseñas y cualquiera que supiera dónde buscar podía acceder a ellos desde el navegador web.
La base de datos incluía enlaces a fotos de alta resolución de rostros, incluidos trabajadores de la construcción que ingresan a las obras y visitantes de la oficina que se registran y otra información personal, como el nombre, la edad y el sexo de la persona, junto con números de identificación de residentes, que son la respuesta de China a las normas nacionales. tarjetas de identidad. La base de datos también tenía registros de matrículas de vehículos recopilados por cámaras Xinai en estacionamientos, entradas de vehículos y otros puntos de entrada a las oficinas.
Fotos de matrículas de vehículos rastreadas en China. Créditos de imagen: TechCrunch (compuesto)
TechCrunch envió varios mensajes sobre la base de datos expuesta a direcciones de correo electrónico que se sabe que están asociadas con el fundador de Xinai, pero nuestros correos electrónicos no fueron devueltos. La base de datos ya no era accesible a mediados de agosto.
Pero Sen no es la única persona que descubrió la base de datos mientras estaba expuesta. Una nota de rescate sin fecha dejada por un extorsionador de datos afirmó haber robado el contenido de la base de datos, quien dijo que restauraría los datos a cambio de unos cientos de dólares en criptomonedas. No se sabe si el extorsionador robó o eliminó algún dato, pero la dirección de la cadena de bloques que quedó en la nota de rescate muestra que aún no ha recibido ningún dinero.
El estado de vigilancia de China se extiende profundamente en el sector privado, brindando a la policía y a las autoridades gubernamentales acceso y capacidades casi ilimitados para rastrear personas y vehículos en todo el país. China usa el reconocimiento facial para rastrear a su vasta población en ciudades inteligentes, pero también usa la tecnología para la vigilancia masiva de las poblaciones minoritarias que Beijing ha sido acusada durante mucho tiempo de oprimir.
El año pasado, China aprobó la Ley de Protección de Información Personal, su primera ley integral de protección de datos que se considera el equivalente chino de las reglas de privacidad del RGPD de Europa, cuyo objetivo es limitar la cantidad de datos que recopilan las empresas, pero exime ampliamente a la policía y a las agencias gubernamentales que conforman el sistema de privacidad de China. vasto estado de vigilancia.
Pero ahora, con dos exposiciones masivas de datos en los últimos meses, tanto el gobierno chino como las empresas tecnológicas se encuentran mal equipados para proteger la gran cantidad de datos que recopilan sus sistemas de vigilancia.