Un gruppo di esperti ha scoperto che un sistema di sorveglianza “smart” usato a Pechino, in Cina, lasciava esposti i dati degli utenti senza neppure una password a protezione. L’incredibile storia è firmata Zack Whittaker ed è da poco apparsa nelle pagine della testata d’Oltreoceano Techcrunch.
Quanto emerso ha dell’incredibile perché il sistema in questione era in grado di effettuare un riconoscimento facciale di ciascun individuo nei luoghi pubblici confrontando i dati raccolti con i database delle forze dell’ordine. Un approccio che permetteva il riconoscimento per nome e cognome dei soggetti inquadrati dalle telecamere oltre al confronto con le foto segnaletiche della polizia.
Il concetto di smart city è importante e sarà sempre più cruciale negli anni a venire: soluzioni innovative afferenti al mondo dell’Internet delle Cose permetteranno di gestire meglio il traffico, offrire un servizio di trasporto pubblico migliore, rendere ai cittadini servizi migliori ottimizzati sulla base delle loro esigenze e stili di vita.
A scovare il database cinese per la sorveglianza dei cittadini con la possibilità di accedervi pubblicamente dal web è stato John Wethington.
Ospitati presso i server del gigante cinese Alibaba, i dati registrano informazioni su centinaia di persone per le quali il sistema ha automaticamente svolto un riconoscimento del volto.
Exclusive: A Chinese "smart city" surveillance system was left exposed without a password. Its facial recognition system collected thousands of records, could determine names and ethnicities, and also matched face scans against Chinese police records.https://t.co/1jKhpfvxMZ
— Zack Whittaker (@zackwhittaker) 3 maggio 2019
I portavoce di Alibaba si sono affrettati a precisare che l’azienda non ha nulla a che vedere con quei dati e che le politiche di memorizzazione e gestione degli stessi sono state decise dal cliente. “Abbiamo immediatamente provveduto a informare il cliente circa il problema di sicurezza riscontrato e come provider non abbiamo alcun diritto di accesso ai dati“. A distanza di poche ore dalla segnalazione, il database è stato comunque posto offline.
Nel frattempo, i ricercatori hanno comunque potuto spiare liberamente nel contenuto della base dati carpendo informazioni sul posizionamento delle telecamere di videosorveglianza a Pechino ed estraendo un buon insieme di dati di esempio.
È stato altresì accertato che il sistema in questione riuscirebbe anche a descrivere i dettagli del soggetto “fotografato” (ad esempio se indossa degli occhiali da sole o una mascherina, cosa piuttosto comune durante le giornate in cui si addensa lo smog) e, addirittura, terrebbe traccia della sua etnia evidenziando ad esempio gli uiguri, minoranza destinataria di azioni repressive.
Ogni volta che il sistema riconosce una persona nota alle forze di polizia, viene compilato un record con l’indicazione del luogo, del giorno e dell’ora in cui si è verificato l’avvistamento.
In aggiunta, secondo i dati presenti nel database, il sistema messo a punto nel Paese estremo-orientale teneva traccia degli spostamenti degli utenti grazie a una serie di hotspot WiFi disseminati per la città. In questo modo è stato possibile raccogliere dati come IMEI e IMSI (utilizzabili per identificare univocamente un cellulare) di tutti coloro che sono transitati nel “raggio d’azione” di ogni singolo hotspot.