Die britische Supermarktkette Tesco hat ihre Parküberprüfungs-Web-App nach eingestellt Das Register In einem Microsoft Azure-Blob wurden Millionen von ANPR-Bildern (Automatic Number Plate Recognition) entdeckt, die ungesichert blieben.
Die Bilder selbst bestanden aus Fotos von Autos, die beim Betreten und Verlassen von 19 im ganzen Land verteilten Parkhäusern des Unternehmens aufgenommen wurden. Während die Fahrer dieser Fahrzeuge auf den Fotos nicht zu sehen waren, lauteten ihre Kennzeichen.
Der Azure-Blob, der die ausgelagerte Parküberprüfungs-Web-App von Tesco betrieb, verfügte über keine Anmelde- oder Authentifizierungskontrollen und war vollständig zugänglich. Das Unternehmen gab zu Das Register dass diese mit einem Zeitstempel versehenen Bilder während einer Datenmigrationsübung freigelegt wurden.
Ranger Services, der das Azure-Blob für die Web-App von Tesco betrieb, untersucht derzeit das Ausmaß der Sicherheitsverletzung. Nach dem kürzlich erfolgten Zusammenschluss mit dem konkurrierenden Parkbetreiber CP Plus heißt das Unternehmen jetzt GroupNexus.
Belichtete ANPR-Bilder
Der Azure-Blob enthielt ANPR-Livebilder, die als JPEG-Dateien mit Zeitstempel gespeichert wurden, und der Zeitpunkt, zu dem Kunden ihre Autos abstellten, war ebenfalls in den Bilddateinamen enthalten. Jeder, der in der Lage ist, das Format der erforderlichen HTTP-POST-Anforderung korrekt zu ermitteln, könnte die Bilder für die unerlaubte Verwendung in großen Mengen gesammelt haben.
Ein Sprecher von Tesco erklärte, was passiert ist Das Register, Sprichwort:
„Ein technisches Problem mit einer Park-App bedeutete, dass für einen kurzen Zeitraum historische Bilder und Zeiten von Autos, die auf unseren Parkplätzen ein- und ausfahren, zugänglich waren. Obwohl weder Bilder von Personen noch vertrauliche Daten verfügbar waren, ist eine Sicherheitsverletzung inakzeptabel. Wir haben die App jetzt deaktiviert, während wir mit unserem Dienstanbieter zusammenarbeiten, um sicherzustellen, dass dies nicht noch einmal passiert. "
Nach Angaben des Unternehmens wurde der Azure-Blob während einer geplanten Datenmigrationsübung in einen AWS-Datensee offen gelassen. Es wurde gesichert, aber Tesco wollte nicht verraten, wie lange es offen gelassen wurde.
Da Tesco die Parkraumüberwachungsdienste von einem Dritten erworben hat, ist der Dritte nach Angaben des Unternehmens für den Schutz der von ihm erfassten und gemäß den gesetzlichen Bestimmungen gespeicherten Daten verantwortlich.
Über das Register
