Flock Safety hardcodificou 53 vezes a senha da infraestrutura de vigilância dos EUA

 (nexanet.ai)
2 pontos por GN⁺ 2026-01-10 | 1 comentários | Compartilhar no WhatsApp
  • Foi confirmado que a Flock Safety, que opera uma rede de vigilância em todo os EUA, hardcodificou uma chave da API ArcGIS e a expôs em 53 bundles públicos de JavaScript
  • Essa chave permitia acesso a um ambiente ArcGIS que gerencia de forma unificada dados de localização e detecção de cerca de 12 mil organizações, e podia ser usada por qualquer pessoa, sem restrições de IP ou referer
  • Os dados expostos incluíam informações sensíveis baseadas em localização, como posição de viaturas policiais, drones, bodycams, chamadas para o 911 e posicionamento de câmeras
  • O pesquisador também encontrou uma segunda vulnerabilidade que permitia emitir tokens do ArcGIS sem autenticação adicional, e ela permaneceu sem correção por mais de 55 dias
  • O caso expõe riscos graves para a segurança nacional e a privacidade, e foi apontado como um tema que exige investigação do Congresso dos EUA e de órgãos reguladores

Resumo e principais descobertas

  • A chave de API ArcGIS da Flock Safety estava incluída em 53 bundles públicos de JavaScript na web, concedendo acesso a cerca de 50 camadas de dados privadas

    • A chave em questão era a API Key padrão (Default), uma credencial organizacional emitida automaticamente ao criar uma conta ArcGIS
    • Não havia restrições de referer, IP ou domínio, então qualquer pessoa podia acessá-la

  • Os dados acessíveis por essa chave incluíam detecções de placas veiculares, localização de viaturas em patrulha, telemetria de drones, chamadas para o 911 e localização de câmeras de vigilância

    • Dados de cerca de 5 mil departamentos de polícia, 6 mil comunidades e 1 mil empresas privadas ficaram expostos a risco

  • O FlockOS é uma interface única baseada em mapa que integra todos os equipamentos e dados de vigilância, tendo o ArcGIS como base

    • A chave exposta fornecia permissão para acessar toda essa camada de mapa integrada

Flock Safety e a infraestrutura de vigilância

  • A Flock Safety opera em todo os EUA leitores de placas veiculares, drones e sensores de áudio, coletando mais de 30 bilhões de detecções de veículos por mês
  • Esse sistema integra e gerencia todos os dados em um único mapa por meio da plataforma FlockOS, baseada em ArcGIS
  • A chave de API exposta funcionava como a chave que destrava toda essa estrutura de “One Map”

Detalhes da vulnerabilidade

  • As credenciais expostas eram uma chave em nível organizacional conectada a todo o ambiente ArcGIS da Flock Safety

    • A mesma chave foi encontrada repetidamente em 53 endpoints públicos
    • Cada endpoint podia acessar de forma independente o ambiente ArcGIS

  • Segundo a documentação da Esri, chaves de API definem permissões de acesso a conteúdo público e privado e, antes da implantação, seu escopo e referer devem ser limitados

    • A Flock não aplicou nenhuma dessas restrições

Categorias de dados expostos

  • Infraestrutura de vigilância: câmeras da polícia, de comunidades e privadas, drones, sensores de áudio e equipamentos de terceiros
  • Dados de localização: GPS de viaturas em patrulha, bodycams, smartwatches, eventos CAD e histórico de patrulha
  • Informações sobre pessoas e veículos: alertas de detecção, histórico de buscas e alertas de áudio (incluindo detecção de disparos)
  • Dados investigativos: detecções em hotlists, filtros de busca e áreas geográficas de pesquisa
  • Informações de identificação pessoal (PII): nome, e-mail, telefone, endereço e quantidade de câmeras dos cadastrantes de câmeras
  • Dados do Flock911: localização de incidentes em tempo real, ID de chamadas, tokens de acesso a gravações e estado de reprodução de áudio
  • Informações de status de drones: exibição do estado do equipamento (gravando, carregando, offline etc.)

Padrão repetido de exposição de credenciais

  • Além da mesma API Key padrão, também foi encontrada uma vulnerabilidade que emitia tokens do ArcGIS sem autenticação
    • Um token chamado “Flock Safety Prod” podia acessar dados reais da rede de câmeras
    • Após o primeiro reporte, em 13 de novembro de 2025, o problema permaneceu sem correção por mais de 55 dias
Atributo Default API Key Flock Safety Prod
Itens acessíveis 50 itens privados Nenhum
Acesso à rede de câmeras Sim Sim
Origem Bundle JS de desenvolvimento Emissão de token sem autenticação
Estado Corrigido (junho de 2025) Sem correção (mais de 55 dias)
  • O ambiente de desenvolvimento tinha permissões de acesso mais amplas do que o ambiente de produção e permitia acesso externo

Riscos para a segurança nacional e a privacidade

  • Dados de localização em escala nacional podem expor padrões de deslocamento de políticos, militares e agentes de inteligência
    • Mesmo simples lacunas de localização podem ser usadas para inferir o início de operações especiais
  • Se serviços de inteligência estrangeiros abusarem desses dados, poderão inferir informações operacionais sem interceptar comunicações
  • No plano doméstico, existe risco de uso indevido para violação de privacidade, coerção e tráfico de influência

Casos reais de uso indevido

  • Braselton, Geórgia (2025): chefe de polícia preso sob acusação de usar câmeras da Flock para perseguir uma pessoa
  • Sedgwick, Kansas (2023–2024): chefe de polícia rastreou a ex-companheira 228 vezes e inseriu justificativas falsas de investigação
  • Orange City, Flórida (2024–2025): policial rastreou a ex-companheira e foi preso por acesso ilegal e perseguição

Esses casos mostram que sistemas de vigilância podem ser abusados para fins pessoais

Verificação das alegações da Flock sobre segurança e compliance

  • O CEO da Flock alegou que “a Flock nunca foi hackeada”, mas isso ocorreu porque a vulnerabilidade foi descoberta em um reporte e não chegou a ser explorada
  • A Flock afirmou estar em conformidade com CJIS, SOC 2/3 e ISO 27001, mas, na prática, a API Key padrão estava incluída em 53 ativos públicos
  • Isso é avaliado não como uma simples falha processual, mas como um defeito estrutural de segurança

Recomendações

  • Cidadãos: solicitar a divulgação de contratos e logs da Flock junto aos governos locais
  • Jornalistas: conduzir investigações adicionais com base em evidências técnicas
  • Órgãos de segurança pública: verificar resultados de testes de intrusão do fornecedor e o escopo de acesso aos dados
  • Formuladores de políticas: tornar obrigatórias auditorias independentes de segurança e apoiar uma investigação da FTC

Conclusão

  • A API Key foi trocada, mas o fato de uma credencial central de acesso da infraestrutura nacional de vigilância ter sido exposta 53 vezes é um alerta de segurança grave
  • Se um único pesquisador conseguiu obter acesso nessa escala, agentes hostis poderiam ter coletado muito mais informações
  • O caso da Flock Safety é avaliado não como um simples vazamento de chave, mas como a exposição do núcleo operacional do sistema de vigilância dos EUA

Leituras relacionadas

1 comentários

 
GN⁺ 2026-01-10
Comentários do Hacker News

  • Não gosto da Flock, mas há algo suspeito nas alegações da matéria
    A maioria das capturas de tela parece ser código JavaScript do lado do cliente, não respostas reais da API
    Na comunidade de bug bounty, vazamento de chave da Google Maps API é um caso comum de falso positivo, porque normalmente serve só para faturamento e não dá acesso aos dados
    A matéria também não apresenta provas de que com a ArcGIS seja diferente

    • Segurança em mapas é praticamente impossível
      Mapas precisam ser amplamente compartilhados em contextos governamentais e de engenharia, e com pouca pesquisa é fácil encontrar formas de acessar até camadas pagas
      O motivo de não revogarem as chaves quando um projeto termina é que isso quebraria todos os links existentes e atrapalharia pesquisas ou planejamento
      Até universitários conseguem acessar vários dados cartográficos por meio de convênios da instituição, e no fim esses dados ficam na prática públicos
      No século 21, está ficando quase impossível manter privacidade

  • O problema da Flock não é o nível de segurança, mas a própria existência da empresa
    Rastrear continuamente a localização de alguém não é vigilância razoável, e sim uma busca abusiva

    • Se alguém me seguisse 24 horas por dia registrando fotos e meus deslocamentos, isso seria claramente stalking
      O que a Flock faz não é essencialmente diferente, só é menos visível
    • Depois de décadas vendo esses casos, fico achando que no fim será necessário explicitar um direito constitucional à privacidade

  • Os feeds de câmeras públicas são bens públicos e deveriam ser abertos

    • Acho isso ainda mais verdadeiro quando as câmeras são operadas por órgãos que dizem prestar serviço público
      Ao mesmo tempo, existe a preocupação de que esse tipo de abertura acabe terceirizando o estado de vigilância para a multidão
    • Sistemas assim também servem de base para facilitar a criação de apps de stalking

  • Num mundo sensato, isso teria levado a empresa à falência e à prisão dos executivos

  • Compartilha um vídeo de experimento técnico adversarial para confundir leitores de placas
    Mas isso não é legal em todo lugar, então é preciso verificar a legislação
    Link do YouTube

  • Pergunta se alguém já conseguiu remover câmeras da Flock na própria cidade
    Na nossa região, elas foram instaladas há cerca de um ano e meio, e as cidades vizinhas adotaram o sistema quase ao mesmo tempo

    • Sou um dos organizadores comunitários que conseguiram cancelar com sucesso os contratos da Flock em Eugene e Springfield, no Oregon
      Agora estou trabalhando com cidades perto de Portland e com um grupo de trabalho da assembleia estadual para avançar legislação sobre o tema
      É impressionante como a Flock manipula departamentos de polícia
      Por exemplo, uma empresa chamada Lexipol vende documentos de política policial e ao mesmo tempo opera a plataforma Police1
      A Police1 ajuda a polícia a encontrar subsídios para pagar assinaturas da Flock, e a Flock aparece ali de forma bem ativa
      No fim, a polícia compra políticas da Lexipol, e essas políticas são muito favoráveis à Flock
      A Flock repete os mesmos argumentos de marketing para policiais e autoridades municipais
      A Flock Safety, que saiu da Y Combinator, faz afirmações muito enganosas sobre seu produto e seu negócio
    • Também houve um caso de sucesso de desativação da Flock em Redmond, no estado de Washington
      Matéria relacionada
    • Também houve casos de rescisão ou rejeição de contrato em Sedona, Arizona; Bend, Oregon; Hays County, Texas; e Lockhart
      Caso de Sedona, Matéria sobre Bend, Matéria sobre Hays County, Matéria sobre Lockhart
      Também estamos fazendo campanha na nossa cidade, e a opinião pública muda conforme o nome da Flock vai ficando mais conhecido
      Participar diretamente das reuniões da câmara municipal e conversar é importante
    • Em Flagstaff, Arizona, o contrato com a Flock também foi cancelado
      Link da matéria
    • Várias cidades no Oregon e em Washington decidiram não renovar contratos com a Flock
      Matéria relacionada

  • Isso parece ser resultado de simples incompetência
    Na polêmica sobre a adoção do ShotSpotter, o CIO da cidade e o órgão de auditoria também foram deixados de fora, e foi preciso convencer os vereadores um por um para fazer uma avaliação técnica
    Espero que isso não se repita

    • Mas isso não é incompetência, é descaso
      Se houvesse vontade de corrigir, isso já teria sido resolvido

  • Já encontrei e denunciei uma chave com dados sensíveis expostos em um órgão público usado por milhões de pessoas
    Agora entendo por que esse tipo de falha fica meses, ou até anos, sem correção
    Burnout, ignorância e uma cultura em que esconder o problema parece melhor do que admiti-lo são as causas

  • No Reino Unido existem os 'Blade Runners', que removem câmeras de CCTV; fico me perguntando por que não existe uma resposta tão ativa assim nos EUA

    • Nos EUA, o campo anti-vigilância é fraco, e o lado mais agressivo é justamente o que quer construir o aparato de vigilância
    • Na minha cidade, algumas câmeras da Flock foram desativadas por danos em painéis solares ou nas lentes, mas pelo contrato o custo do reparo fica com a prefeitura
    • O risco de punição legal é alto, e o custo de advogado é caro, então é difícil partir para a ação
      Além disso, ainda existe o risco de ter de lidar com uma polícia violenta
    • No site da Flock também dá para ver explicações sobre funcionalidades de drones
    • Estamos cada vez mais sofrendo sob uma nova forma de política do medo (gestapo)
      As pessoas se chamam de 'defensoras da liberdade', mas na prática quase não conseguem resistir