El gigante británico de los supermercados Tesco ha cerrado su aplicación de aparcamiento después de que The Register descubriera que decenas de millones de imágenes de reconocimiento automático de matrículas (ANPR) quedaron sin proteger en un blob de Microsoft Azure.
Las imágenes consistían en fotos de coches tomadas al entrar y salir de diecinueve aparcamientos de la empresa, repartidos por todo el país. Aunque los conductores de los vehículos no eran visibles en las fotos, sí lo eran sus números de matrícula.
El blob de Azure que alimentaba la aplicación web de validación de aparcamientos subcontratada por Tesco no tenía controles de inicio de sesión o autenticación y era completamente accesible. La empresa admitió a The Register que estas imágenes con marca de tiempo quedaron expuestas durante un ejercicio de migración de datos.
Ranger Services, que operaba el blob de Azure para la aplicación web de Tesco, sigue investigando el alcance de la brecha. La empresa se llama ahora GroupNexus tras su reciente fusión con el operador de aparcamientos rival CP Plus.
¿Qué es Azzure Blob?
Microsoft Azure (antes Windows Azure) es un servicio de computación en la nube creado por Microsoft para construir, probar, desplegar y gestionar aplicaciones y servicios a través de centros de datos gestionados por Microsoft. Ofrece software como servicio (SaaS), plataforma como servicio (PaaS) e infraestructura como servicio (IaaS) y es compatible con muchos lenguajes de programación, herramientas y marcos diferentes, incluyendo software y sistemas específicos de Microsoft y de terceros.
Imágenes ANPR expuestas
El blob de Azure contenía imágenes ANPR en vivo que se almacenaban como JPEG con marca de tiempo y la hora en que los clientes aparcaban sus coches también se incluía en los nombres de los archivos de imagen. Cualquiera que pudiera descifrar correctamente el formato de la solicitud HTTP POST requerida podría haber cosechado las imágenes en masa para su uso ilícito.
Un portavoz de Tesco explicó lo sucedido a The Register, diciendo:
Un problema técnico con una aplicación de aparcamiento significó que durante un breve periodo de tiempo se pudo acceder a imágenes históricas y a los tiempos de los coches que entraban y salían de nuestros aparcamientos. Aunque no había imágenes de personas ni datos confidenciales, cualquier fallo de seguridad es inaceptable y ya hemos desactivado la aplicación mientras trabajamos con nuestro proveedor de servicios para asegurarnos de que no vuelva a ocurrir.
Según la empresa, el blob de Azure se dejó abierto durante un ejercicio de migración de datos planificado a un lago de datos de AWS. Desde entonces se ha asegurado, pero Tesco no ha querido revelar durante cuánto tiempo se dejó abierta.
Dado que Tesco adquirió los servicios de vigilancia de los aparcamientos a un tercero, la empresa dice que éste era responsable de proteger los datos que recogía y almacenaba conforme a la ley.
Fuentes: El Registro, Wikipedia