Flock Hardcoded the Password for America's Surveillance Infrastructure 53 Times
4 months ago
- #Data Privacy
- #Surveillance
- #Cybersecurity
- Flock Safety在53个公开端点暴露了硬编码的ArcGIS API密钥,导致其监控基础设施存在安全漏洞。
- 该暴露的密钥可访问50个私有数据层,包括车牌识别数据、巡逻车位置、无人机遥测数据及911呼叫记录。
- 约12,000个执法部门、社区及私营机构部署的系统受到影响,且该密钥未设置IP或来源限制。
- Flock Safety的集中式'单一地图'架构使得该密钥能获取来自数千家机构的聚合数据。
- 该漏洞虽被发现并得到负责任披露,但Flock Safety耗时55天以上才完成修复。
- 历史案例显示,执法部门曾滥用Flock监控工具进行个人跟踪和骚扰。
- 此次数据暴露构成国家安全风险,外国敌对势力可能利用移动数据开展情报活动。
- Flock Safety自称符合安全标准,但此次事件暴露其安全架构存在缺陷。
- 建议措施包括发起公共记录查询、加强供应商审查,并通过政策改革强制要求独立审计。