As câmeras de vigilância com IA da Flock estavam expostas na internet. Nós rastreamos a nós mesmos

• Pelo menos 60 câmeras Condor PTZ com IA da Flock estavam expostas na internet sem senha em todo os Estados Unidos
• Nas câmeras expostas, era possível assistir ao vídeo em tempo real, baixar 30 dias de gravações, alterar configurações e acessar logs
• As câmeras Condor foram projetadas para rastrear rostos e movimentos de pessoas, e não placas de veículos, e contam com recursos de zoom e rotação
• Os pesquisadores descobriram essa exposição por meio do mecanismo de busca Shodan e, na prática, conseguiram identificar pessoas em parques, estacionamentos e ciclovias
• O caso revelou os riscos de vigilância não autorizada e exposição de dados pessoais em espaços públicos, destacando a necessidade de gestão de segurança da infraestrutura de vigilância com IA

Situação da exposição das câmeras Flock Condor

• Pelo menos 60 câmeras Condor PTZ com IA da Flock estavam publicamente acessíveis na internet
  • Qualquer pessoa podia assistir às imagens em tempo real ou baixar 30 dias de gravações sem fazer login
  • Com acesso ao painel de administrador, era possível alterar configurações, consultar arquivos de log e executar diagnósticos
• O repórter ficou em frente a uma câmera em um cruzamento de Bakersfield, Califórnia, e confirmou a transmissão em tempo real da própria imagem
  • Colegas a centenas de milhas de distância também assistiram remotamente à mesma transmissão

Recursos das câmeras Condor e casos de gravação

• A Condor é uma câmera de rastreamento de pessoas com recursos pan-tilt-zoom (PTZ), diferente das câmeras da Flock voltadas para reconhecimento de placas de veículos
  • Ela pode ampliar automaticamente o rosto de uma pessoa ou rastreá-la por controle manual
• As câmeras expostas estavam filmando pessoas em alta resolução em parques, estacionamentos, vias e playgrounds
  • Foram gravadas uma mulher passeando com o cachorro em uma ciclovia nos subúrbios de Atlanta, um homem no estacionamento da Macy’s em Bakersfield, crianças em um playground e motoristas esperando no semáforo
  • Um homem passando de rollerblade por uma ciclovia em Brookhaven, Geórgia, foi capturado em sequência por várias câmeras
  • A resolução do vídeo era tão alta que foi possível identificar que o homem estava assistindo a um vídeo de rollerblade no celular

Como a exposição foi descoberta

• O youtuber e especialista em tecnologia Benn Jordan descobriu primeiro a exposição e compartilhou a informação com o pesquisador de segurança Jon “GainSec” Gaines
  • Gaines já havia encontrado anteriormente várias vulnerabilidades em câmeras ANPR (reconhecimento automático de placas) da Flock
• Os dois usaram o mecanismo de busca Shodan para localizar câmeras com configurações de segurança insuficientes
• Para verificar as informações fornecidas por eles, o repórter visitou pessoalmente os locais e confirmou a posição das câmeras por meio de contratos municipais e materiais de apresentação corporativa

Reações e preocupações dos pesquisadores

• Jordan afirmou que era possível ver, “sem nome de usuário nem senha”, playgrounds, estacionamentos, compradores e todo tipo de cena
  • Ele disse que percebeu a gravidade do risco especialmente ao ver imagens de playgrounds com crianças
• Ele também demonstrou, usando parte das imagens expostas, que seria possível identificar uma pessoa específica com ferramentas open source
  • O objetivo era mostrar o potencial de uso malicioso desse tipo de exposição

Implicações para segurança e privacidade

• A exposição das câmeras da Flock revelou a falta de gestão de segurança em sistemas de vigilância com IA
• Ficou confirmado o risco de que imagens gravadas em espaços públicos possam ser divulgadas, armazenadas e manipuladas sem autorização
• Ao operar infraestrutura de vigilância baseada em IA, é essencial reforçar o controle de acesso e as medidas de proteção de dados