Масштабный взлом Nexar: хакер получил доступ к 130 ТБ видео и GPS-данных с видеорегистраторов

В начале сентября 2025 года стало известно о масштабной утечке данных компании Nexar, производителя AI-управляемых автомобильных видеорегистраторов. Неизвестный хакер получил доступ к неправильно сконфигурированному хранилищу Amazon S3, где находилось более 130 терабайт видеозаписей и GPS-данных пользователей со всего мира.

Главная уязвимость заключалась во встроенных в видеорегистраторы ключах доступа с чрезмерными привилегиями. Каждый регистратор содержал такой ключ, который должен был обеспечивать выгрузку собственных записей, но фактически открывал доступ к данным всех пользователей системы. Эксплуатация уязвимости заняла у хакера всего около двух часов, что наглядно демонстрирует архитектурные недостатки системы аутентификации и контроля доступа.

Видеорегистраторы Nexar позиционируются как распределённая сеть «виртуальных CCTV-камер». Устройства автоматически загружают записи в облако, где алгоритмы машинного обучения и компьютерного зрения:

анализируют дорожную обстановку,

строят цифровые карты,

фиксируют аварии и опасности в реальном времени,

поддерживают функции GPS-трекинга, оповещения экстренных служб, парковочного режима и хранения в облаке.

Компания монетизирует данные, продавая доступ к анонимизированным размытым изображениям и агрегированным метаданным корпоративным клиентам (Apple, Microsoft, Google, Lyft), а также государственным структурам — полицейским департаментам и городским администрациям. В рамках сервиса CityStream пользователи могут добровольно согласиться на участие или отказаться, предоставлять записи для публичных карт с аннотациями дорожных знаков, трафика и опасных зон.

Среди утекших данных оказались видеозаписи с чётко различимыми лицами людей, а также сцены, снятые рядом с объектами национальной