अमेरिका के surveillance infrastructure का पासवर्ड 53 बार hardcode करने वाली Flock Safety
(nexanet.ai)- पूरे अमेरिका में surveillance network चलाने वाली Flock Safety ने ArcGIS API key को hardcode करके 53 public JavaScript bundles में expose कर दिया था
- यह key करीब 12,000 संस्थाओं के location और detection data को एकीकृत रूप से मैनेज करने वाले ArcGIS environment तक पहुंच दे सकती थी, और इस पर IP या referrer restrictions नहीं थीं, इसलिए कोई भी इसका इस्तेमाल कर सकता था
- expose हुए data में police vehicle locations, drone, bodycam, 911 calls, और camera deployment information जैसी संवेदनशील location-based जानकारी शामिल थी
- शोधकर्ता ने इसके अलावा authentication के बिना ArcGIS token जारी किए जा सकने वाली दूसरी vulnerability भी खोजी, और यह 55 दिनों से अधिक समय तक बिना patch के रही
- यह घटना राष्ट्रीय सुरक्षा और privacy protection दोनों के लिहाज से गंभीर जोखिम को उजागर करती है, और कहा गया है कि इस मामले की अमेरिकी कांग्रेस और regulatory agencies द्वारा जांच होनी चाहिए
सारांश और प्रमुख निष्कर्ष
-
Flock Safety की ArcGIS API key 53 public web JavaScript bundles में शामिल थी, और इससे लगभग 50 private data layers तक पहुंच मिलती थी
- यह key एक default API key थी, यानी ArcGIS account बनाते समय अपने-आप जारी होने वाला organization-wide credential
- इस पर referrer, IP, या domain restrictions नहीं थीं, इसलिए कोई भी access कर सकता था
-
इस key के जरिए उपलब्ध data में vehicle license plate detections, patrol car locations, drone telemetry, 911 calls, और surveillance camera locations शामिल थे
- करीब 5,000 police departments, 6,000 communities, और 1,000 private companies का data जोखिम में था
-
FlockOS सभी surveillance devices और data को एकीकृत करने वाला single map-based interface है, और ArcGIS इसका आधार है
- expose हुई key इस पूरे integrated map layer तक पहुंच का अधिकार देती थी
Flock Safety और surveillance infrastructure
- Flock Safety पूरे अमेरिका में vehicle license plate readers, drones, और audio sensors चलाती है और हर महीने 30 billion से अधिक vehicle detection records इकट्ठा करती है
- यह system FlockOS नाम के ArcGIS-based platform के जरिए सारे data को एक ही map पर एकीकृत रूप से मैनेज करता है
- expose हुई API key इस पूरे “One Map” ढांचे को unlock करने वाली key की तरह काम करती थी
vulnerability का विवरण
-
expose हुए credentials, Flock Safety के पूरे ArcGIS environment से जुड़े organization-level key थे
- वही key 53 public endpoints पर बार-बार मिली
- हर endpoint स्वतंत्र रूप से ArcGIS environment तक पहुंच सकता था
-
Esri documentation के अनुसार API keys public और private content access permissions को define करती हैं, और deploy करने से पहले इनके scope और referrer को सीमित करना जरूरी है
- Flock ने इनमें से कोई restriction लागू नहीं की
expose हुए data की श्रेणियां
- surveillance infrastructure: police, community, और private cameras, drones, audio sensors, और third-party devices
- location data: patrol car GPS, bodycams, smartwatches, CAD events, patrol history
- व्यक्ति और वाहन जानकारी: detection alerts, search history, audio alerts (gunshot detection सहित)
- investigation data: hotlist detections, search filters, geographic search areas
- personally identifiable information (PII): camera registrants के नाम, email, phone number, address, camera count
- Flock911 data: real-time incident locations, call IDs, recording access tokens, audio playback status
- drone status information: device state indicators जैसे recording, charging, offline आदि
credential exposure का दोहराया गया पैटर्न
- उसी default API key के अलावा authentication के बिना ArcGIS token जारी होने वाली vulnerability भी अलग से मिली
- “Flock Safety Prod” नाम का token वास्तविक camera network data तक पहुंच सकता था
- 13 नवंबर 2025 को पहली बार report किए जाने के बाद भी यह 55 दिनों से अधिक समय तक unpatched रहा
| गुण | Default API Key | Flock Safety Prod |
|---|---|---|
| access items | 50 private items | none |
| camera network access | संभव | संभव |
| source | development JS bundle | authentication के बिना token issuance |
| status | fix हो चुका (जून 2025) | unpatched (55+ दिन) |
- development environment के पास production environment से भी ज्यादा व्यापक access permissions थीं, और बाहरी access भी संभव था
राष्ट्रीय सुरक्षा और privacy जोखिम
- देशव्यापी location data राजनेताओं, सैन्य कर्मियों, और intelligence operatives के movement patterns को उजागर कर सकता है
- केवल location gaps के आधार पर भी special operations की शुरुआत का अनुमान लगाया जा सकता है
- अगर विदेशी intelligence agencies इस data का दुरुपयोग करें, तो वे communications intercept किए बिना भी operational information infer कर सकती हैं
- घरेलू स्तर पर भी privacy invasion, blackmail, और influence operations के लिए इसके दुरुपयोग का खतरा है
वास्तविक दुरुपयोग के मामले
- Braselton, Georgia (2025): police chief पर Flock camera का उपयोग करके एक व्यक्ति का stalking करने के आरोप में गिरफ्तारी
- Sedgwick, Kansas (2023–2024): police chief ने पूर्व प्रेमिका को 228 बार track किया, और झूठे investigation reasons दर्ज किए
- Orange City, Florida (2024–2025): एक police officer ने पूर्व प्रेमिका को track किया, और illegal access व stalking के आरोप में गिरफ्तार हुआ
ये मामले दिखाते हैं कि surveillance systems का दुरुपयोग निजी उद्देश्यों के लिए किया जा सकता है
Flock के security और compliance दावों की जांच
- Flock के CEO ने दावा किया कि “Flock कभी hack नहीं हुआ,” लेकिन ऐसा इसलिए था क्योंकि vulnerability report के जरिए मिली थी और उसका दुरुपयोग नहीं हुआ था
- Flock ने CJIS, SOC 2/3, ISO 27001 आदि compliance का दावा किया, लेकिन वास्तव में default API key 53 public assets में शामिल थी
- इसे साधारण procedural failure नहीं, बल्कि structural security flaw माना गया
सिफारिशें
- नागरिक: local government के Flock contracts और logs की disclosure request करें
- पत्रकार: technical evidence के आधार पर आगे की जांच करें
- law enforcement agencies: vendor के penetration testing results और data access scope की जांच करें
- policy makers: independent security audits को अनिवार्य करें और FTC investigation का समर्थन करें
निष्कर्ष
- API key बदल दी गई है, लेकिन राष्ट्रीय surveillance infrastructure के core access credential के 53 बार expose होने का तथ्य एक गंभीर security warning है
- यदि केवल एक researcher इस स्तर की पहुंच हासिल कर सकता था, तो hostile actors इससे कहीं अधिक जानकारी इकट्ठा कर सकते थे
- Flock Safety ने सिर्फ एक key leak नहीं किया, बल्कि अमेरिकी surveillance system के संचालन के केंद्र को ही expose कर दिया
1 टिप्पणियां
Hacker News की राय
मुझे Flock पसंद नहीं है, लेकिन लेख में किए गए दावों पर संदेह है
ज़्यादातर स्क्रीनशॉट असली API response नहीं बल्कि client-side JavaScript code लगते हैं
bug bounty community में Google Maps API key leak एक आम false positive मामला है, क्योंकि यह सिर्फ billing के लिए होती है और data access permission नहीं देती
लेख में यह साबित नहीं किया गया कि ArcGIS अलग है
सरकार या engineering क्षेत्रों में maps को व्यापक रूप से share करना पड़ता है, और थोड़ा खोजने पर paid layers तक पहुँचने के तरीके आसानी से मिल जाते हैं
project खत्म होने के बाद भी keys revoke नहीं की जातीं, क्योंकि ऐसा करने से पुराने links टूट जाते हैं और research या planning में दिक्कत आती है
university students भी institutional agreements के ज़रिए तरह-तरह के map data तक पहुँच जाते हैं, और अंततः वह data व्यावहारिक रूप से सार्वजनिक हो जाता है
21वीं सदी में privacy बनाए रखना लगभग असंभव होता जा रहा है
Flock की समस्या इसकी security level नहीं, बल्कि उसका अस्तित्व ही है
किसी की location को लगातार track करना उचित surveillance नहीं बल्कि अनुचित तलाशी है
Flock जो करता है, वह मूल रूप से इससे अलग नहीं है, बस कम दिखाई देता है
public camera feeds सार्वजनिक संपत्ति हैं, इसलिए उन्हें सार्वजनिक होना चाहिए
लेकिन यह चिंता भी है कि ऐसी openness कहीं surveillance state को crowdsource करने का नतीजा न बन जाए
अगर दुनिया समझदारी से चलती, तो इसका नतीजा कंपनी के दिवालिया होने और executives की गिरफ्तारी में निकलता
license plate readers को भ्रमित करने वाले adversarial tech experiment video को share किया गया
हालाँकि, यह हर जगह legal नहीं है, इसलिए कानून ज़रूर जाँच लें
YouTube लिंक
जानना चाहता हूँ कि क्या किसी ने अपने शहर में Flock cameras हटवाने में सफलता पाई है
हमारे यहाँ ये लगभग डेढ़ साल पहले लगे थे, और आसपास के शहरों ने भी लगभग उसी समय इन्हें अपनाया था
अभी मैं Portland के पास के शहरों और state legislature working group के साथ मिलकर संबंधित legislation पर काम कर रहा हूँ
Flock जिस तरह police departments को प्रभावित करता है, वह चौंकाने वाला है
उदाहरण के लिए Lexipol नाम की कंपनी police policy documents बेचती है और साथ ही Police1 नाम का platform भी चलाती है
Police1 पुलिस को Flock subscription के लिए grants ढूँढ़ने में मदद करता है, और Flock वहाँ सक्रिय रूप से मौजूद रहता है
आखिर में police Lexipol से policy खरीदती है, और वह policy Flock के लिए बेहद अनुकूल होती है
Flock police और city officials को बार-बार वही marketing language दोहराकर देता है
Y Combinator से निकली Flock Safety अपने product और business के बारे में काफ़ी भ्रामक दावे करती है
संबंधित लेख
Sedona मामला, Bend लेख, Hays County लेख, Lockhart लेख
हमारे शहर में भी campaign चल रहा है, और जैसे-जैसे Flock का नाम लोगों तक पहुँच रहा है, जनमत बदल रहा है
city council meetings में सीधे शामिल होकर बातचीत करना बहुत महत्वपूर्ण है
लेख लिंक
संबंधित लेख
यह सिर्फ अयोग्यता का नतीजा लगता है
ShotSpotter लागू करने के विवाद के समय भी city CIO और auditor को बाहर रखा गया था, और technical verification के लिए council members को एक-एक करके मनाना पड़ा था
उम्मीद है कि यह फिर से न दोहराया जाए
अगर इसे ठीक करने की इच्छा होती, तो अब तक ठीक हो चुका होता
मैंने कभी लाखों लोगों को सेवा देने वाली एक public institution में exposed keys के साथ sensitive data पाकर report किया था
अब समझ आता है कि ऐसी vulnerabilities महीनों, यहाँ तक कि सालों तक क्यों पड़ी रहती हैं
इसकी वजह burnout, अज्ञानता, और ऐसी culture है जिसमें समस्या मान लेने से बेहतर उसे छिपाना समझा जाता है
UK में CCTV हटाने वाले ‘Blade Runners’ हैं, तो सोचता हूँ कि अमेरिका में ऐसी सक्रिय प्रतिक्रिया क्यों नहीं दिखती
ऊपर से हिंसक police का सामना करने का खतरा भी है
लोग खुद को ‘आज़ादी के रक्षक’ कहते हैं, लेकिन वास्तव में लगभग कोई प्रतिरोध नहीं कर पा रहे हैं