Den brittiska snabbköpskedjan Tesco har stängt ner sin webbapplikation för parkeringsvalidering efter att The Register upptäckt tiotals miljoner osäker ANPR-bilder (automatic number plate recognition) i en Microsoft Azure-blob.
Själva bilderna bestod av bilder på bilar som tagits in och ut från 19 av företagets parkeringsplatser över hela landet. Förarna av dessa fordon syntes inte på bilderna, men deras registreringsnummer var det.
Azure-blobben som drev Tescos outsourcade valideringswebbapplikation hade ingen inloggnings- eller autentiseringskontroll och var helt tillgänglig. Företaget medgav på protokoll att dessa tidsstämplade bilder hade exponerats under en datamigreringsövning.
Ranger Services, som skötte Azure-blobben för Tescos webbapp, undersöker fortfarande omfattningen av intrånget. Företaget ringer nu GroupNexus efter dess nyligen genomförda sammanslagning med parkeringsoperatören CP Plus.
ANPR-filmer visas
Azure-blobben innehöll levande ANPR-bilder sparade som tidsstämplade JPEG-filer. Tiden då kunderna parkerade sin bil ingick också i bildfilsnamnen. Alla som korrekt kan förstå formatet för den begärda HTTP POST-begäran kunde ha samlat in bulkbilderna för olaglig användning.
En talesperson för Tesco förklarade vad som hade hänt med registret i dessa termer:
"Ett tekniskt problem med en parkeringsapp gjorde att bilder och historiska tider på bilar som körde in och lämnade våra parkeringar under en kort tid var tillgängliga. Även om inga bilder på personer eller känsliga uppgifter finns tillgängliga är alla säkerhetsbrott oacceptabelt och vi har nu inaktiverat appen medan vi arbetar med vår tjänsteleverantör för att säkerställa att detta inte händer igen. Mer."
Enligt företaget lämnades Azure-blobben öppen under en planerad datamigreringsövning till en AWS-datasjö. Det har sedan dess säkrats, men Tesco vill inte avslöja hur länge det har varit öppet.
Eftersom Tesco köpte parkeringsövervakningstjänsterna från en tredje part, uppgav företaget att Tesco var ansvarigt för att skydda den data som samlats in och lagras enligt lagen.
Genom registret