【量子位 2025年12月24日讯】一个覆盖全国的交通监控系统,竟成了“谁都能看的公开数据库”。12月23日,据TechCrunch独家报道,乌兹别克斯坦部署的全国性车牌识别监控系统被发现存在严重安全漏洞——未设密码直接暴露在互联网上,任何人都能访问其中数百万条车辆轨迹、违规照片及实时监控数据。这一漏洞由安全研究员阿努拉格·森(Anurag Sen)本月发现,截至发稿时,该系统仍处于无防护状态,成为2025年全球最严重的公共安全监控系统泄露事件之一。
此次暴露的系统不仅让乌兹别克斯坦“全民交通监控”的运作逻辑公之于众,更折射出全球多国在推进公共安全数字化时,普遍存在的“重功能、轻安全”隐患。值得关注的是,就在同一周,美国监控巨头Flock的数十台车牌识别相机也被曝存在类似暴露问题,全球公共监控系统的安全防线正遭遇严峻挑战。
漏洞直击:无密码访问,任何人可查6个月行踪
乌兹别克斯坦这套“智能交通管理系统”的安全漏洞,堪称“低级却致命”——安全研究员森在访问时发现,系统网页界面无需输入账号密码,即可直接进入后台,获取从监控部署到车辆数据的全维度信息:
-
数据规模“覆盖全国”系统由乌兹别克斯坦内务部公共安全部门运营,数据库建于2024年9月,2025年年中正式启动监控,目前已在全国部署约100组高清摄像头,覆盖首都塔什干、东部城市奇尔奇克、南部城市卡尔希等主要城市及交通干线,甚至包括乌兹别克斯坦与塔吉克斯坦争议边境附近的乡村路段。TechCrunch通过系统暴露的GPS坐标定位发现,仅塔什干一座城市就有超12处监控点,部分摄像头位置可在谷歌街景中直接看到。
-
监控能力“精准到个人”摄像头以4K分辨率拍摄,支持实时捕捉车辆违规行为(闯红灯、未系安全带、夜间无牌行驶等),并记录驾驶员及乘客影像。系统后台存储着数百万张车辆照片、原始视频片段,甚至包含单辆车的长期轨迹——例如某辆车6个月内每周多次往返奇尔奇克与塔什干的行程,均被完整记录。更令人担忧的是,这些数据未做任何匿名化处理,车牌号码、车辆外观、驾乘人员特征清晰可见,任何人都能通过筛选“车牌号”“时间段”,定位特定车辆的实时位置与历史行踪。
-
漏洞持续时间“成谜”尽管系统数据库2024年9月已建立,但监控功能2025年年中才启用,目前无法确定漏洞何时出现。森表示,他在12月初发现该系统时,其无密码访问状态已存在至少数周,期间可能已有不明身份者获取数据。TechCrunch曾多次联系乌兹别克斯坦内务部、驻美使馆及网络安全应急团队(UZCERT),但仅收到UZCERT的自动收件回复,未获任何实质性回应。
系统拆解:中国厂商设备支撑,功能覆盖“违规抓拍+行踪追踪”
从暴露的系统后台及硬件标识来看,这套监控系统的技术架构与功能设计,凸显出“交通管理”与“全民监控”的双重属性:
-
硬件供应商“来自中国”系统界面显示其官方名称为“Maxvision智能交通管理系统”,而Maxvision是中国深圳一家专注于交通技术、边境检查及监控产品的厂商。根据该公司领英视频及宣传册,其摄像头支持“完整记录违规过程”“实时显示违规与通行信息”,且已向布基纳法索、科威特、墨西哥、沙特阿拉伯等全球多国出口同类设备,乌兹别克斯坦是其重要客户之一。部分摄像头还带有新加坡厂商Holowits的水印,推测采用“多国组件集成”模式。
-
核心功能“违规抓拍+轨迹追溯”系统后台设有可视化仪表盘,操作员可查看违规车辆的特写照片、原始视频及详细违规信息(时间、地点、违规类型、GPS坐标),甚至能下载完整视频文件。除实时监控外,系统还支持“历史数据检索”——输入车牌号即可调取该车辆过去数月的所有通行记录,包括经过的监控点、行驶时间、是否有违规行为等,形成完整的个人出行轨迹档案。这种功能设计远超普通交通管理需求,更具备“大规模人口行踪监控”的能力。
-
技术原理“依赖LPR+红外技术”参考同类车牌识别(LPR)系统原理,该系统通过埋地线圈、雷达等感知车辆通行,触发高清摄像头抓拍;再经图像预处理(降噪、白平衡调整)、车牌定位、字符切割与识别,最终输出违规结果。为保障夜间监控效果,摄像头配备红外照明组件,可在无可见光环境下清晰拍摄车牌,这也是其能实现“24小时不间断监控”的关键技术支撑。
行业警示:全球监控系统漏洞频发,隐私与安全失衡
乌兹别克斯坦的案例并非个例,近期全球多地公共监控系统安全漏洞集中爆发,暴露行业普遍问题:
-
同类事件“密集发生”就在乌兹别克斯坦系统被曝漏洞的同一周,美国独立媒体404 Media报道,监控巨头Flock的数十台车牌识别相机也未设防护,记者可实时查看自己被摄像头追踪的过程;更早前,《连线》杂志曾披露美国150多台车牌识别设备及实时车辆数据暴露互联网,2019年TechCrunch也曾曝光超100台同类设备可被公开访问,部分漏洞甚至存在数年未修复。
-
安全隐患“源于轻视防护”这些漏洞的共性在于“基础安全措施缺失”——未设置密码、未开启数据加密、未限制访问IP。究其原因,一方面是部分国家和企业在推进公共安全数字化时,将“快速部署功能”置于首位,忽视安全防护;另一方面,监控系统涉及敏感数据,却缺乏统一的安全标准与监管机制,导致厂商与运营方“各管一摊”,安全责任模糊。
-
用户隐私“面临双重威胁”对普通民众而言,这类漏洞意味着“出行隐私完全失控”——不仅行踪可被陌生人随意查询,车辆信息、驾乘人员影像还可能被用于恶意用途(如跟踪、诈骗);更严重的是,若数据被黑客或不法分子批量获取,可能引发大规模身份盗用、财产安全风险。而对政府而言,监控系统的安全漏洞也可能泄露国家交通基础设施布局、边境管控等敏感信息,威胁国家安全。
截至12月24日,乌兹别克斯坦的车牌监控系统仍未修复漏洞,安全研究员森呼吁“尽快关闭公开访问权限,对已泄露数据进行安全评估”。这场漏洞风波再次提醒:公共监控系统的建设,不能只追求“看得广、看得清”,更要守住“防得住、护得好”的安全底线。否则,本应守护安全的技术,反而会成为威胁隐私与安全的“双刃剑”。
