Fehlende Sicherheitsmaßnahmen am ANPR-System in Sheffield: 8,6 Millionen Fahrzeugbewegungen und Kennzeichen offengelegt

 

Stießen der Sicherheitsforscher Chris Kubecka und der freiberufliche Autor Gerard Jannsen auf eine große Sicherheitslücke in der automatischen Kennzeichenerfassung (ANPR) der Stadt Sheffield. Dadurch wurden 8,6 Millionen Datensätze mit Aufzeichnungen über Fahrzeugbewegungen und Fahrten von Bürgern offengelegt.

Die beiden gaben ihre Entdeckung umgehend an die Website The Register weiter, die die Geschichte öffentlich bekannt machte und die örtlichen Behörden informierte.
rnSo, wie es aussieht, war der Zugriff auf das interne Dashboard von ANPR ein Kinderspiel. Es war weder eine Authentifizierung noch die Eingabe von Anmeldedaten erforderlich, und jeder hätte das Live-System durch einfaches Kopieren und Einfügen seiner IP-Adresse einsehen oder durchsuchen können.

Als Reaktion auf diese Nachricht äußerten sich Vertreter der Stadtverwaltung von Sheffield und der Polizei von South Yorkshire gegenüber The Register:

„Wir übernehmen gemeinsam die Verantwortung für die Aufklärung dieser Datenpanne. Ein solcher Vorfall ist völlig inakzeptabel. Wir möchten jedoch betonen, dass unseres Wissens nach niemand durch diese Datenpanne zu Schaden gekommen ist oder Nachteile erlitten hat.“

Obwohl es keine Anzeichen für böswillige Aktionen gab, hätte die Möglichkeit, in Echtzeit das ANPR-System zu durchforsten, angesichts der Millionen von dort aufgezeichneten Fahrzeug- und Bewegungsdaten die Bürger ernsthaft gefährden können. Ganz einfach über das Kennzeichen hätten die Missetäter jedes Fahrzeug, das in der Stadt unterwegs ist, aufspüren und einen Anschlag oder Raubüberfall inszenieren können.

Und damit nicht genug: Zusätzlich zum mangelnden Schutz privater Daten enthüllte The Register auch, dass sich auf den Servern, auf denen das ANPR-Dashboard gehostet ist, auch ein brisantes Speicherlaufwerk befindet. Dort sind Millionen von Fotos der 100 überwachungskameras des County gespeichert, die das System laufend mit Nummernschildern, Gesichtern von Fahrern oder Mitfahrern und Passanten versorgen.

Infolgedessen haben der Stadtrat von Sheffield und die Polizei von South Yorkshire den Vorfall dem zuständigen Datenschutzbeauftragten gemeldet und bestätigt, dass die Datenbank nicht mehr für die öffentlichkeit einsehbar ist:

„Nachdem wir von diesem Vorfall Kenntnis erlangten, haben wir Maßnahmen ergriffen, um auf die unmittelbare Gefahr zu reagieren und sicherzustellen, dass die Daten nicht mehr von außen sichtbar sind.“ Wir werden weiter untersuchen, wie es dazu kommen konnte, und alles in unserer Macht Stehende tun, um sicherzustellen, dass sich so etwas nicht wiederholt.

rn