Flock Safety, ABD gözetim altyapısının parolasını 53 kez hardcode etti

 (nexanet.ai)
2 puan yazan GN⁺ 2026-01-10 | 1 yorum | WhatsApp'ta paylaş
  • ABD genelinde gözetim ağı işleten Flock Safety'nin bir ArcGIS API anahtarını hardcode ederek 53 herkese açık JavaScript bundle'ında ifşa ettiği doğrulandı
  • Bu anahtar, yaklaşık 12.000 kurumun konum ve tespit verilerini entegre biçimde yöneten ArcGIS ortamına erişebiliyordu ve IP ya da referrer kısıtlaması olmadığı için herkes tarafından kullanılabiliyordu
  • İfşa edilen veriler arasında polis araçlarının konumu, drone·body cam·911 çağrıları·kamera yerleşim bilgileri gibi hassas konum tabanlı bilgiler bulunuyordu
  • Araştırmacı ayrıca kimlik doğrulama olmadan ArcGIS token'ı alınabilmesini sağlayan ikinci bir zafiyet daha keşfetti; bu açık 55 günden uzun süre boyunca yamalanmadı
  • Olayın, ulusal güvenlik ve kişisel verilerin korunması açısından ciddi riskler ortaya koyduğu ve ABD Kongresi ile düzenleyici kurumların soruşturmasını gerektirdiği belirtiliyor

Özet ve başlıca bulgular

  • Flock Safety'nin ArcGIS API anahtarı, herkese açık 53 web JavaScript bundle'ına gömülüydü ve yaklaşık 50 özel veri katmanına erişim yetkisi veriyordu

    • Söz konusu anahtar, ArcGIS hesabı oluşturulduğunda otomatik verilen, kuruluş genelinde geçerli varsayılan bir API anahtarıydı
    • Referrer, IP veya domain kısıtlaması olmadığı için herkes erişebiliyordu

  • Bu anahtar üzerinden erişilebilen veriler arasında araç plaka tespitleri, devriye aracı konumları, drone telemetrisi, 911 çağrıları ve gözetim kameralarının konumları yer alıyordu

    • Yaklaşık 5.000 polis departmanı, 6.000 topluluk ve 1.000 özel şirketin verisi riske maruz kaldı

  • FlockOS, tüm gözetim ekipmanını ve verileri birleştiren tek harita tabanlı arayüz ve ArcGIS bunun temelini oluşturuyor

    • İfşa edilen anahtar, bu birleşik harita katmanının tamamına erişim yetkisi sağlıyordu

Flock Safety ve gözetim altyapısı

  • Flock Safety, ABD genelinde araç plaka okuyucular, drone'lar ve ses sensörleri işletiyor ve her ay 30 milyardan fazla araç tespit verisi topluyor
  • Bu sistem, FlockOS adlı ArcGIS tabanlı platform üzerinden tüm verileri tek bir harita üzerinde entegre biçimde yönetiyor
  • İfşa edilen API anahtarı, bu “One Map” yapısının tamamını açan bir anahtar işlevi görüyor

Zafiyetin ayrıntıları

  • İfşa edilen kimlik bilgisi, Flock Safety'nin tüm ArcGIS ortamına bağlı kuruluş düzeyinde bir anahtardı

    • Aynı anahtar 53 herkese açık endpoint'te tekrar tekrar bulundu
    • Her endpoint bağımsız olarak ArcGIS ortamına erişebiliyordu

  • Esri dokümantasyonuna göre API anahtarları, herkese açık ve özel içeriğe erişim yetkilerini tanımlar ve dağıtımdan önce kapsam ile referrer kısıtlarının mutlaka ayarlanması gerekir

    • Flock bu kısıtların hiçbirini uygulamamıştı

İfşa edilen veri kategorileri

  • Gözetim altyapısı: polis, topluluk ve özel kamera sistemleri, drone'lar, ses sensörleri, üçüncü taraf ekipmanlar
  • Konum verileri: devriye aracı GPS'i, body cam'ler, akıllı saatler, CAD olayları, devriye geçmişi
  • Kişi ve araç bilgileri: tespit uyarıları, arama geçmişi, sesli alarmlar (silah sesi tespiti dahil)
  • Soruşturma verileri: hotlist tespitleri, arama filtreleri, coğrafi arama alanları
  • Kişisel tanımlayıcı bilgiler (PII): kamera kayıt sahibinin adı, e-posta adresi, telefon numarası, adresi, kamera sayısı
  • Flock911 verileri: gerçek zamanlı olay konumu, çağrı ID'si, kayıt erişim token'ları, ses oynatma durumu
  • Drone durum bilgileri: ekipman durumu göstergeleri (kayıt, şarj, offline vb.)

Tekrarlanan kimlik bilgisi ifşası paterni

  • Aynı varsayılan API anahtarına ek olarak, kimlik doğrulama olmadan ArcGIS token'ı üretilebilmesini sağlayan bir zafiyet de ayrıca bulundu
    • “Flock Safety Prod” adlı token, gerçek kamera ağı verilerine erişebiliyordu
    • 13 Kasım 2025'te ilk bildirim yapıldıktan sonra 55 günden uzun süre boyunca yamalanmadı
Özellik Default API Key Flock Safety Prod
Erişilen öğeler 50 özel öğe Yok
Kamera ağına erişim Mümkün Mümkün
Kaynak Geliştirme amaçlı JS bundle'ları Kimlik doğrulamasız token üretimi
Durum Düzeltildi (Haziran 2025) Yamalanmadı (55+ gün)
  • Geliştirme ortamı, üretim ortamından daha geniş erişim yetkilerine sahipti ve dış erişime açıktı

Ulusal güvenlik ve mahremiyet riskleri

  • Ülke çapındaki konum verileri, siyasetçilerin, askeri personelin ve istihbarat görevlilerinin hareket örüntülerini açığa çıkarabilir
    • Yalnızca konumdaki boşluklardan bile özel operasyonların başlayıp başlamadığı tahmin edilebilir
  • Yabancı istihbarat servisleri bu verileri kötüye kullanırsa, iletişim dinlemesi olmadan da operasyonel bilgiler çıkarım yoluyla elde edilebilir
  • Yurt içinde ise mahremiyet ihlali, şantaj ve nüfuz amaçlı kullanım riski bulunuyor

Gerçek kötüye kullanım örnekleri

  • Braselton, Georgia (2025): Bir polis şefi, Flock kameralarını kullanarak bir kişiyi taciz amaçlı izlediği iddiasıyla tutuklandı
  • Sedgwick, Kansas (2023–2024): Bir polis şefi eski sevgilisini 228 kez takip etti, sahte soruşturma gerekçeleri girdi
  • Orange City, Florida (2024–2025): Bir polis memuru eski sevgilisini takip etti; yasa dışı erişim ve taciz suçlamalarıyla tutuklandı

Bu örnekler, gözetim sistemlerinin kişisel amaçlarla kötüye kullanılabildiğini gösteriyor

Flock'un güvenlik ve uyumluluk iddialarının doğrulanması

  • Flock CEO'su “Flock hiç hacklenmedi” iddiasında bulundu; ancak bunun nedeni, zafiyetlerin kötüye kullanılmadan önce bildirim yoluyla bulunmuş olmasıydı
  • Flock, CJIS, SOC 2/3, ISO 27001 vb. standartlara uyum iddiasında bulundu; ancak gerçekte varsayılan API anahtarı 53 herkese açık varlığın içine gömülüydü
  • Bu durum, basit bir prosedür hatasından ziyade yapısal bir güvenlik kusuru olarak değerlendiriliyor

Öneriler

  • Vatandaşlar: yerel yönetimlerin Flock sözleşmeleri ile log kayıtlarının açıklanmasını talep etmeli
  • Gazeteciler: teknik kanıtlara dayanarak ek araştırmalar yürütmeli
  • Kolluk kuvvetleri: tedarikçinin penetration test sonuçlarını ve veri erişim kapsamını doğrulamalı
  • Politika yapıcılar: bağımsız güvenlik denetimini zorunlu kılmalı ve FTC soruşturmasına destek vermeli

Sonuç

  • API anahtarı değiştirilmiş olsa da, ulusal gözetim altyapısının çekirdek erişim kimlik bilgisinin 53 kez ifşa edilmiş olması ciddi bir güvenlik alarmı
  • Tek bir araştırmacı bu ölçekte erişim elde edebildiyse, düşmanca aktörler çok daha fazla bilgi toplayabilirdi
  • Flock Safety'nin yaptığı şey, yalnızca basit bir anahtar sızıntısı değil, ABD gözetim sisteminin çalışma merkezini açığa çıkarmak olarak değerlendiriliyor

İlgili okumalar

1 yorum

 
GN⁺ 2026-01-10
Hacker News görüşleri

  • Flock'tan hoşlanmıyorum ama haberde öne sürülen iddialarda şüpheli noktalar var
    Ekran görüntülerinin çoğu gerçek API yanıtı değil, istemci tarafı JavaScript kodu gibi görünüyor
    Hata ödülü topluluğunda Google Maps API anahtarı sızıntıları sık görülen bir yanlış pozitif (false positive) örneği; bunlar genelde sadece faturalama içindir ve verilere erişim yetkisi vermez
    Makalede ArcGIS'in farklı olduğuna dair de bir kanıt sunulmuyor

    • Harita güvenliği pratikte imkansız
      Devlet ve mühendislik alanlarında haritaların geniş çapta paylaşılması gerekiyor ve biraz araştırınca ücretli katmanlara erişmenin yollarını bulmak kolay
      Proje bittikten sonra da anahtarların iptal edilmemesinin nedeni, mevcut bağlantıların tamamen bozulup araştırma veya planlama çalışmalarını aksatması
      Üniversite öğrencileri bile okul anlaşmaları sayesinde çeşitli harita verilerine erişebiliyor ve sonuçta bu veriler fiilen herkese açık hale geliyor
      21. yüzyılda mahremiyeti korumak neredeyse imkansız hale geliyor

  • Flock'un sorunu güvenlik seviyesi değil, bizzat varlığı
    Birinin konumunu sürekli takip etmek makul gözetim değil, makul olmayan arama kapsamına girer

    • Biri günün 24 saati peşimden gelip fotoğraf çekse ve gittiğim yerleri kaydetse bu apaçık takipçilik olur
      Flock'un yaptığı da özünde farklı değil, sadece daha az göze çarpıyor
    • Son birkaç on yılın örneklerine bakınca, sonunda anayasal düzeyde bir mahremiyet hakkının açıkça tanımlanması gerektiğini düşünüyorum

  • Kamuya açık kamera yayınları kamusal bir varlıktır ve bu yüzden açık olmalıdır

    • Hele ki bunlar kamu hizmeti verdiğini söyleyen kurumların işlettiği kameralar ise, bu daha da geçerli bence
      Yine de böyle bir açıklığın sonunda gözetim devletini kitlesel katkıyla beslemek gibi bir sonuca yol açabileceğinden endişe ediyorum
    • Bu tür sistemler takip uygulamalarını daha da kolaylaştıran bir altyapı da oluşturuyor

  • Aklı başında bir dünyada bunun sonucu şirketin batması ve yöneticilerin hapse girmesi olurdu

  • Plaka okuyucuları şaşırtmaya yönelik adversarial teknoloji deney videosu paylaşılıyor
    Ancak bunun her yerde yasal olmadığını, o yüzden yerel yasaların kontrol edilmesi gerektiğini söylüyor
    YouTube bağlantısı

  • Kendi şehrinde Flock kameralarını kaldırtabilen bir örnek olup olmadığını merak ediyor
    Kendi bölgelerinde bunlar yaklaşık bir buçuk yıl önce kuruldu ve yakın şehirler de neredeyse aynı anda kullanmaya başladı

    • Ben, Oregon eyaletindeki Eugene ve Springfield'da Flock sözleşmelerini başarıyla iptal ettiren topluluk örgütleyicilerinden biriyim
      Şu anda Portland yakınındaki şehirlerle ve eyalet meclisi çalışma grubuyla ilgili yasa teklifleri üzerinde çalışıyorum
      Flock'un polis birimlerini yönlendirme biçimi gerçekten şaşırtıcı
      Örneğin Lexipol adlı şirket polis politika belgeleri satarken aynı zamanda Police1 adlı bir platform da işletiyor
      Police1, polisin Flock aboneliği için hibe bulmasına yardım ediyor ve Flock burada sürekli öne çıkarılıyor
      Sonuçta polis Lexipol'den politika satın alıyor ve bu politikalar Flock'a son derece dostane yaklaşıyor
      Flock, polise ve belediye yetkililerine aynı pazarlama söylemlerini tekrar tekrar aşılıyor
      YCombinator çıkışlı Flock Safety, ürünü ve işi hakkında son derece yanıltıcı iddialarda bulunuyor
    • Washington eyaletindeki Redmond'da da Flock'u devre dışı bıraktırma konusunda başarılı bir örnek oldu
      ilgili haber
    • Arizona'daki Sedona, Oregon'daki Bend, Teksas'taki Hays County ve Lockhart gibi yerlerde de sözleşme feshi veya reddi örnekleri var
      Sedona örneği, Bend haberi, Hays County haberi, Lockhart haberi
      Kendi şehrimizde de kampanya yürütüyoruz ve Flock'un adı duyuldukça kamuoyu değişiyor
      Belediye meclisi toplantılarına bizzat katılıp insanlarla konuşmak önemli
    • Arizona'daki Flagstaff'ta da Flock sözleşmesi iptal edildi
      haber bağlantısı
    • Oregon ve Washington'daki birçok şehir Flock sözleşmelerini yenilememe kararı aldı
      ilgili haber

  • Bu, basit bir yetersizlik sonucu gibi görünüyor
    ShotSpotter tartışmasında da belediyenin CIO'su ve denetçisi dışarıda bırakılmıştı; teknik doğrulama için meclis üyelerini tek tek ikna etmek gerekmişti
    Umarım böyle şeyler tekrar yaşanmaz

    • Ama bu yetersizlik değil, umursamazlık sorunu
      Düzeltme niyeti olsaydı şimdiye kadar çözülürdü

  • Milyonlarca kişinin kullandığı bir kamu kurumunda açığa çıkmış anahtarlarda hassas veriler bulup bildirdiğini söylüyor
    Bu tür açıkların neden aylarca, hatta yıllarca görmezden gelindiğini artık anlıyorum
    Sebep tükenmişlik ve bilgisizlik, ayrıca sorunu kabul etmektense gizlemenin daha iyi görüldüğü bir kültür

  • Birleşik Krallık'ta CCTV'leri söken 'Blade Runners' var; ABD'de neden buna benzer daha aktif bir tepki olmadığını merak ediyor

    • ABD'deki gözetim karşıtı kesim zayıf, buna karşılık saldırgan olan taraf gözetim düzeni kurmak isteyenler
    • Benim şehrimde bazı Flock kameraları güneş panelleri veya lensleri zarar gördüğü için devre dışı kaldı ama sözleşme gereği tamir masrafını şehir ödüyor
    • Yasal yaptırım riski yüksek ve avukat ücretleri pahalı olduğu için eyleme geçmek zor
      Bir de şiddete başvuran polisle karşı karşıya gelme riski var
    • Flock'un sitesine girerseniz drone özellikleri hakkında açıklamalar da görebilirsiniz
    • Giderek yeni bir tür korku siyaseti (gestapo) altında yaşıyoruz
      Kendilerine 'özgürlüğün savunucuları' diyorlar ama gerçekte neredeyse hiç direnemiyorlar