La catena di supermercati britannica Tesco ha chiuso la sua applicazione web di convalida del parcheggio dopo che The Register ha scoperto decine di milioni di immagini di riconoscimento automatico della targa (ANPR) non assicurate in un blob di Microsoft Azure.
Le immagini stesse consistevano in foto di auto scattate dentro e fuori da 19 parcheggi dell'azienda in tutto il paese. I conducenti di questi veicoli non erano visibili nelle foto, ma i loro numeri di targa sì.
Il BLOB di Azure che alimentava l'applicazione Web di convalida in outsourcing di Tesco non aveva alcun controllo di accesso o autenticazione ed era completamente accessibile. La società ha ammesso a verbale che queste immagini con timestamp erano state esposte durante un esercizio di migrazione dei dati.
Ranger Services, che gestiva il BLOB di Azure per l'app Web di Tesco, sta ancora indagando sulla portata della violazione. La società ora chiama GroupNexus in seguito alla sua recente fusione con l'operatore di parcheggio CP Plus.
Filmati ANPR in mostra
Il BLOB di Azure conteneva immagini ANPR in tempo reale salvate come file JPEG con timestamp. Nei nomi dei file immagine è stata inclusa anche l'ora in cui i clienti hanno parcheggiato l'auto. Chiunque sia in grado di comprendere correttamente il formato della richiesta HTTP POST richiesta potrebbe aver raccolto le immagini in blocco per uso illegale.
Un portavoce di Tesco ha spiegato cos'era successo al registro in questi termini:
"Un problema tecnico con un'app di parcheggio ha fatto sì che, per un breve periodo, fossero accessibili le immagini e i tempi storici delle auto in entrata e in uscita dai nostri parcheggi. Sebbene non siano disponibili immagini di persone o dati sensibili, qualsiasi violazione della sicurezza è inaccettabile e noi ora abbiamo disabilitato l'app mentre lavoriamo con il nostro fornitore di servizi per garantire che ciò non accada di nuovo. Altro."
Secondo la società, il BLOB di Azure è stato lasciato aperto durante un esercizio di migrazione dei dati pianificata verso un data Lake AWS. Da allora è stato messo in sicurezza, ma Tesco non vuole rivelare da quanto tempo è aperto.
Poiché Tesco ha acquistato i servizi di monitoraggio dei parcheggi da terzi, la società ha dichiarato che Tesco era responsabile della protezione dei dati raccolti e archiviati ai sensi della legge.
Attraverso il registro