Slecht beveiligde database geeft inkijkje in Chinees smart city-systeem

Beveiligingsonderzoeker John Wethington heeft een database van een smart city gevonden, die zonder wachtwoord toegankelijk was via het internet. Wethington stuurde de details van de database naar TechCrunch, in de hoop dat de data weer beveiligd zou worden na publiciteit. 

Het gaat om een Elasticsearch-database met gigabytes aan data, die gehost werd door de Chinese tech-gigant Alibaba. In de database staan onder meer scans van gezichtsherkenning van honderden mensen, gemaakt in meerdere maanden. De database van de klant – die niet door Alibaba bekend is gemaakt – maakte meerdere referenties naar het door kunstmatige intelligentie aangestuurde cloud-platform City Brain. Alibaba ontkent echter dat zijn platform gebruikt is.

Alibaba stelt verder dat de klant op de hoogte is gesteld van het probleem. “Als public cloud-provider hebben we niet het recht om de content in een klant-database te openen”, aldus een woordvoerder. Vlak nadat TechCrunch contact zocht met Alibaba, werd de database offline gehaald.

Smart city

Het online medium kon voor die tijd echter de content in de database bekijken. Het smart city-systeem monitort de inwoners rondom in ieder geval twee kleine gemeenschappen in het oosten van Beijing. De grootste daarvan is Liangmaqiao. Het systeem bestaat uit meerdere dataverzamelpunten, waaronder camera’s die ontworpen zijn om gezichtsherkenningsdata te verzamelen.

De blootgestelde data bevat genoeg informatie om vast te stellen waar iemand heen ging, wanneer dat was en hoe lang dat was. Iedereen met toegang tot de data – waaronder de politie – kan dus een beeld krijgen van het dagelijkse leven van een persoon. De database verwerkte meerdere details van gezichten, bijvoorbeeld of de ogen of de mond van iemand open waren en of diegene een zonnebril droeg. Daarnaast bevatte de database de geschatte leeftijd van een persoon en of diegene “aantrekkelijk” is.

Het systeem gebruikt de gezichtsherkenning echter ook om de etniciteit van een persoon vast te stellen en te labelen. Het gaat bijvoorbeeld om Han Chinees, de grootste etnische groep van Chine, en Uyghur Moslims, een minderheid die in Beijing vervolgd wordt.

Verdachten

Daarnaast verzamelt het systeem data van de politie. Die informatie wordt gebruikt om verdachten te detecteren. Volgens TechCrunch suggereert dat dat het systeem van een overheidsinstantie is. Iedere keer als iemand gedetecteerd is, wordt er een waarschuwing gegeven met de datum, tijd, locatie en een corresponderende notitie. Veel gegevens die TechCrunch kon zien bevatten de namen en het nummer van het legitimatiebewijs van een verdachten.

Veel van deze gegevens bevatten ook een reden waarom iemand gevolgd wordt. Het kan bijvoorbeeld gaan om iemand die aan drugs verslaafd is, of om iemand die net uit de gevangenis is vrijgelaten.

Verder kan het systeem apparaten met ondersteuning voor WiFi, zoals telefoons en computers, volgen aan de hand van sensoren in het district. De database verzamelt de data en tijden die door zijn draadloze netwerkradius komen.