В начале сентября 2025 года стало известно о масштабной утечке данных компании Nexar, производителя AI-управляемых автомобильных видеорегистраторов. Неизвестный хакер получил доступ к неправильно сконфигурированному хранилищу Amazon S3, где находилось более 130 терабайт видеозаписей и GPS-данных пользователей со всего мира.
Nexar Pro review | TechRadar
Главная уязвимость заключалась во встроенных в видеорегистраторы ключах доступа с чрезмерными привилегиями. Каждый регистратор содержал такой ключ, который должен был обеспечивать выгрузку собственных записей, но фактически открывал доступ к данным всех пользователей системы. Эксплуатация уязвимости заняла у хакера всего около двух часов, что наглядно демонстрирует архитектурные недостатки системы аутентификации и контроля доступа.
Видеорегистраторы Nexar позиционируются как распределённая сеть «виртуальных CCTV-камер». Устройства автоматически загружают записи в облако, где алгоритмы машинного обучения и компьютерного зрения:
анализируют дорожную обстановку,
строят цифровые карты,
фиксируют аварии и опасности в реальном времени,
поддерживают функции GPS-трекинга, оповещения экстренных служб, парковочного режима и хранения в облаке.
Компания монетизирует данные, продавая доступ к анонимизированным размытым изображениям и агрегированным метаданным корпоративным клиентам (Apple, Microsoft, Google, Lyft), а также государственным структурам — полицейским департаментам и городским администрациям. В рамках сервиса CityStream пользователи могут добровольно согласиться на участие или отказаться, предоставлять записи для публичных карт с аннотациями дорожных знаков, трафика и опасных зон.
Среди утекших данных оказались видеозаписи с чётко различимыми лицами людей, а также сцены, снятые рядом с объектами национальной безопасности США: штаб-квартирой ЦРУ, командованием ядерных сил и военными авиабазами.
Хакер, обнаруживший уязвимость, отметил, что не исключает возможности её более ранней эксплуатации другими злоумышленниками, включая разведки иностранных государств.
О проблеме первой сообщила редакция 404 Media. После уведомления компания Nexar оперативно закрыла уязвимость, однако сам факт наличия глобальных встроенных ключей и отсутствие должного аудита конфигурации ставят под сомнение компетентность подразделения информационной безопасности компании.
Инцидент поднимает не только вопросы приватности, но и национальной безопасности: данные, собранные потребительскими устройствами, могут стать инструментом разведки.
Эксперты отмечают, что этот взлом должен стать поводом для пересмотра архитектурных решений в IoT-устройствах, использующих облачные сервисы для массового сбора и анализа данных.
Источники: 404 Media • Malwarebytes • TechNadu • Nexar
Источник: habr.com