Flock’un yapay zeka gözetim kameraları internete açık bırakıldı. Kendi kendimizi bizzat takip ettik

• ABD genelinde Flock’un yapay zeka tabanlı Condor PTZ kameralarından en az 60’ı parola olmadan internete açık durumdaydı
• Açık durumdaki kameralarda canlı görüntü izleme, 30 günlük kayıtları indirme, ayarları değiştirme ve loglara erişme mümkündü
• Condor kameraları, araç plakalarından ziyade insan yüzlerini ve hareketlerini takip etmek için tasarlanmış, yakınlaştırma ve döndürme özelliklerine sahip cihazlar
• Araştırmacılar bu açıklığı Shodan arama motoru üzerinden keşfetti ve gerçekten de parklar, otoparklar ve bisiklet yolları gibi yerlerde insanları teşhis edebildi
• Bu olay, kamusal alanlarda izinsiz gözetim ve kişisel verilerin açığa çıkması riskini ortaya koyarken, yapay zeka gözetim altyapısında güvenlik yönetimi ihtiyacını öne çıkarıyor

Flock Condor kameralarının maruz kalma durumu

• Flock’un yapay zeka donanımlı Condor PTZ kameralarından en az 60’ı internete açıktı
  • Herkes giriş yapmadan canlı görüntü izleyebiliyor veya 30 günlük kayıtları indirebiliyordu
  • Yönetici paneline erişim üzerinden ayar değiştirme, log dosyalarını görüntüleme ve tanılama çalıştırma mümkündü
• Muhabir, California eyaletindeki Bakersfield’da bir kavşakta doğrudan kameranın önüne geçerek kendi görüntüsünün gerçek zamanlı olarak yayınlandığını doğruladı
  • Yüzlerce mil uzaktaki meslektaşları da aynı görüntüyü uzaktan izledi

Condor kameralarının özellikleri ve çekim örnekleri

• Condor, pan-tilt-zoom (PTZ) özelliğine sahip, insan takibi için kullanılan bir kamera; araç plaka tanıma için kullanılan Flock kameralarından farklı
  • İnsan yüzlerini otomatik olarak yakınlaştırabiliyor ya da manuel kontrolle takip edebiliyor
• Açık durumdaki kameralar parklar, otoparklar, yollar ve oyun alanlarında insanları yüksek çözünürlükte kaydediyordu
  • Atlanta banliyösündeki bir bisiklet yolunda köpek gezdiren bir kadın, Bakersfield’daki Macy’s otoparkındaki bir adam, oyun alanındaki çocuklar ve kırmızı ışıkta bekleyen araç sürücüleri görüntülendi
  • Bir adamın Georgia eyaletindeki Brookhaven’da bir bisiklet yolunda patenle ilerlediği anlar, birden fazla kamera tarafından art arda kaydedildi
  • Görüntü çözünürlüğü o kadar yüksekti ki adamın cep telefonundan paten videoları izlediği bile seçilebiliyordu

Açığın nasıl keşfedildiği

• YouTuber ve teknoloji uzmanı Benn Jordan açığı ilk fark eden kişi oldu ve bunu güvenlik araştırmacısı Jon “GainSec” Gaines ile paylaştı
  • Gaines daha önce de Flock’un otomatik plaka tanıma (ANPR) kameralarında çok sayıda zafiyet bulmuştu
• İkili, güvenlik ayarları yetersiz olan kameraları bulmak için Shodan arama motorunu kullandı
• Muhabir, kendilerine verilen bilgileri doğrulamak için sahayı bizzat ziyaret etti ve belediye sözleşmeleri ile şirket sunum materyalleri üzerinden kamera konumlarını teyit etti

Araştırmacıların tepkileri ve endişeleri

• Jordan, “Kullanıcı adı ya da parola olmadan oyun alanlarını, otoparkları, alışveriş yapan insanları, her şeyi görebiliyorduk” dedi
  • Özellikle çocukların bulunduğu oyun alanı görüntülerini görünce riskin ciddiyetini hissettiğini belirtti
• Ayrıca, açık durumdaki görüntülerin bir kısmını kullanarak açık kaynak araçlarla belirli kişilerin teşhis edilebileceğini gösterdi
  • Bunun amacı, bu tür açıklıkların kötüye kullanılma potansiyelini ortaya koymaktı

Güvenlik ve mahremiyet açısından çıkarımlar

• Flock’un kamera açığı, yapay zeka gözetim sistemlerinde güvenlik yönetimi eksikliğini ortaya koyan bir örnek oldu
• Kamusal alanlarda kaydedilen görüntülerin izinsiz biçimde açığa çıkarılabileceği, saklanabileceği ve manipüle edilebileceği riskinin gerçek olduğu görüldü
• Yapay zeka tabanlı gözetim altyapıları işletilirken erişim kontrolü ve veri koruma önlemlerinin güçlendirilmesi zorunlu