अमेरिका के surveillance infrastructure का पासवर्ड 53 बार hardcode करने वाली Flock Safety

• पूरे अमेरिका में surveillance network चलाने वाली Flock Safety ने ArcGIS API key को hardcode करके 53 public JavaScript bundles में expose कर दिया था
• यह key करीब 12,000 संस्थाओं के location और detection data को एकीकृत रूप से मैनेज करने वाले ArcGIS environment तक पहुंच दे सकती थी, और इस पर IP या referrer restrictions नहीं थीं, इसलिए कोई भी इसका इस्तेमाल कर सकता था
• expose हुए data में police vehicle locations, drone, bodycam, 911 calls, और camera deployment information जैसी संवेदनशील location-based जानकारी शामिल थी
• शोधकर्ता ने इसके अलावा authentication के बिना ArcGIS token जारी किए जा सकने वाली दूसरी vulnerability भी खोजी, और यह 55 दिनों से अधिक समय तक बिना patch के रही
• यह घटना राष्ट्रीय सुरक्षा और privacy protection दोनों के लिहाज से गंभीर जोखिम को उजागर करती है, और कहा गया है कि इस मामले की अमेरिकी कांग्रेस और regulatory agencies द्वारा जांच होनी चाहिए

सारांश और प्रमुख निष्कर्ष

• Flock Safety की ArcGIS API key 53 public web JavaScript bundles में शामिल थी, और इससे लगभग 50 private data layers तक पहुंच मिलती थी

  • यह key एक default API key थी, यानी ArcGIS account बनाते समय अपने-आप जारी होने वाला organization-wide credential
  • इस पर referrer, IP, या domain restrictions नहीं थीं, इसलिए कोई भी access कर सकता था

• इस key के जरिए उपलब्ध data में vehicle license plate detections, patrol car locations, drone telemetry, 911 calls, और surveillance camera locations शामिल थे

  • करीब 5,000 police departments, 6,000 communities, और 1,000 private companies का data जोखिम में था

• FlockOS सभी surveillance devices और data को एकीकृत करने वाला single map-based interface है, और ArcGIS इसका आधार है

  • expose हुई key इस पूरे integrated map layer तक पहुंच का अधिकार देती थी

Flock Safety और surveillance infrastructure

• Flock Safety पूरे अमेरिका में vehicle license plate readers, drones, और audio sensors चलाती है और हर महीने 30 billion से अधिक vehicle detection records इकट्ठा करती है
• यह system FlockOS नाम के ArcGIS-based platform के जरिए सारे data को एक ही map पर एकीकृत रूप से मैनेज करता है
• expose हुई API key इस पूरे “One Map” ढांचे को unlock करने वाली key की तरह काम करती थी

vulnerability का विवरण

• expose हुए credentials, Flock Safety के पूरे ArcGIS environment से जुड़े organization-level key थे

  • वही key 53 public endpoints पर बार-बार मिली
  • हर endpoint स्वतंत्र रूप से ArcGIS environment तक पहुंच सकता था

• Esri documentation के अनुसार API keys public और private content access permissions को define करती हैं, और deploy करने से पहले इनके scope और referrer को सीमित करना जरूरी है

  • Flock ने इनमें से कोई restriction लागू नहीं की

expose हुए data की श्रेणियां

• surveillance infrastructure: police, community, और private cameras, drones, audio sensors, और third-party devices
• location data: patrol car GPS, bodycams, smartwatches, CAD events, patrol history
• व्यक्ति और वाहन जानकारी: detection alerts, search history, audio alerts (gunshot detection सहित)
• investigation data: hotlist detections, search filters, geographic search areas
• personally identifiable information (PII): camera registrants के नाम, email, phone number, address, camera count
• Flock911 data: real-time incident locations, call IDs, recording access tokens, audio playback status
• drone status information: device state indicators जैसे recording, charging, offline आदि

credential exposure का दोहराया गया पैटर्न

• उसी default API key के अलावा authentication के बिना ArcGIS token जारी होने वाली vulnerability भी अलग से मिली
  • “Flock Safety Prod” नाम का token वास्तविक camera network data तक पहुंच सकता था
  • 13 नवंबर 2025 को पहली बार report किए जाने के बाद भी यह 55 दिनों से अधिक समय तक unpatched रहा

• development environment के पास production environment से भी ज्यादा व्यापक access permissions थीं, और बाहरी access भी संभव था

राष्ट्रीय सुरक्षा और privacy जोखिम

• देशव्यापी location data राजनेताओं, सैन्य कर्मियों, और intelligence operatives के movement patterns को उजागर कर सकता है
  • केवल location gaps के आधार पर भी special operations की शुरुआत का अनुमान लगाया जा सकता है
• अगर विदेशी intelligence agencies इस data का दुरुपयोग करें, तो वे communications intercept किए बिना भी operational information infer कर सकती हैं
• घरेलू स्तर पर भी privacy invasion, blackmail, और influence operations के लिए इसके दुरुपयोग का खतरा है

वास्तविक दुरुपयोग के मामले

• Braselton, Georgia (2025): police chief पर Flock camera का उपयोग करके एक व्यक्ति का stalking करने के आरोप में गिरफ्तारी
• Sedgwick, Kansas (2023–2024): police chief ने पूर्व प्रेमिका को 228 बार track किया, और झूठे investigation reasons दर्ज किए
• Orange City, Florida (2024–2025): एक police officer ने पूर्व प्रेमिका को track किया, और illegal access व stalking के आरोप में गिरफ्तार हुआ

ये मामले दिखाते हैं कि surveillance systems का दुरुपयोग निजी उद्देश्यों के लिए किया जा सकता है

Flock के security और compliance दावों की जांच

• Flock के CEO ने दावा किया कि “Flock कभी hack नहीं हुआ,” लेकिन ऐसा इसलिए था क्योंकि vulnerability report के जरिए मिली थी और उसका दुरुपयोग नहीं हुआ था
• Flock ने CJIS, SOC 2/3, ISO 27001 आदि compliance का दावा किया, लेकिन वास्तव में default API key 53 public assets में शामिल थी
• इसे साधारण procedural failure नहीं, बल्कि structural security flaw माना गया

सिफारिशें

• नागरिक: local government के Flock contracts और logs की disclosure request करें
• पत्रकार: technical evidence के आधार पर आगे की जांच करें
• law enforcement agencies: vendor के penetration testing results और data access scope की जांच करें
• policy makers: independent security audits को अनिवार्य करें और FTC investigation का समर्थन करें

निष्कर्ष

• API key बदल दी गई है, लेकिन राष्ट्रीय surveillance infrastructure के core access credential के 53 बार expose होने का तथ्य एक गंभीर security warning है
• यदि केवल एक researcher इस स्तर की पहुंच हासिल कर सकता था, तो hostile actors इससे कहीं अधिक जानकारी इकट्ठा कर सकते थे
• Flock Safety ने सिर्फ एक key leak नहीं किया, बल्कि अमेरिकी surveillance system के संचालन के केंद्र को ही expose कर दिया