Flock Safety'nin, ABD genelindeki gözetim altyapısının merkezinde yer alan ArcGIS haritalama ortamında ciddi bir güvenlik açığı keşfedildi. Şirketin herkese açık JavaScript paketlerinde, referans veya IP kısıtlaması olmayan, sabit kodlanmış bir ArcGIS API anahtarı bulundu. Bu tek kimlik bilgisi, Flock Safety'nin ArcGIS ortamına ve 50 özel veri katmanına tam erişim sağlıyordu. Açık, 53 ayrı Flock Safety ön uç paketi ve ortamında bağımsız olarak ortaya çıktı.
Bu güvenlik açığı, yaklaşık 5.000 polis departmanı, 6.000 topluluk dağıtımı ve 1.000 özel işletmeyi kapsayan yaklaşık 12.000 kolluk kuvveti, topluluk ve özel sektör dağıtımından gelen plaka tespitleri, devriye aracı konumları, drone telemetrisi, vücut kamerası konumları, 911 çağrı verileri ve gözetim kamerası konumları gibi hassas verileri birleştiren altyapıyı tehlikeye attı. Maruz kalan API anahtarı, Esri'nin hesap kaydı sırasında otomatik olarak oluşturduğu "Varsayılan API Anahtarı" olarak etiketlenmişti ve şirketin ArcGIS platformundaki kapsamlı bir miskonfigürasyonu işaret ediyordu.
Flock Safety, her ay milyarlarca araç tespiti üreten yüz binlerce kamerayla ABD'deki en büyük ve en hızlı büyüyen gözetim ağlarından birini işletiyor. Bu açığın keşfi ve sorumlu ifşaatın ardından şirket tarafından düzeltildiği belirtildi, ancak bu durum geniş çaplı gözetim sistemlerindeki potansiyel güvenlik zafiyetlerinin ciddiyetini bir kez daha gözler önüne serdi.
ABD genelindeki binlerce kolluk kuvveti ve özel işletmenin gözetim verilerini birleştiren kritik bir altyapının, sabit kodlanmış bir API anahtarı nedeniyle geniş çaplı bir güvenlik açığına maruz kalması, veri gizliliği ve ulusal güvenlik açısından ciddi sonuçlar doğurabilir.