Flocks KI-Überwachungskameras waren im Internet exponiert. Wir haben uns selbst verfolgt

• In den gesamten USA waren mindestens 60 KI-gestützte Condor-PTZ-Kameras von Flock ohne Passwort im Internet exponiert
• Über die exponierten Kameras waren Live-Bilder, der Download von Aufnahmen der letzten 30 Tage, Einstellungsänderungen und der Zugriff auf Logs möglich
• Die Condor-Kameras sind dafür ausgelegt, nicht Fahrzeugkennzeichen, sondern Gesichter und Bewegungen von Menschen zu verfolgen, und verfügen über Zoom- und Schwenkfunktionen
• Forschende entdeckten diese Exponierung über die Suchmaschine Shodan und konnten tatsächlich Menschen in Parks, Parkplätzen und auf Radwegen identifizieren
• Der Fall zeigt die Risiken unerlaubter Überwachung und der Offenlegung personenbezogener Daten im öffentlichen Raum und unterstreicht die Notwendigkeit von Sicherheitsmanagement für KI-Überwachungsinfrastruktur

Lage der exponierten Flock-Condor-Kameras

• Mindestens 60 mit KI ausgestattete Condor-PTZ-Kameras von Flock waren öffentlich im Internet erreichbar
  • Jede Person konnte ohne Login Live-Bilder ansehen oder Aufnahmen der letzten 30 Tage herunterladen
  • Über den Zugriff auf das Admin-Panel waren Einstellungsänderungen, das Einsehen von Log-Dateien und Diagnoseläufe möglich
• Ein Reporter stellte sich an einer Kreuzung in Bakersfield, Kalifornien, direkt vor eine Kamera und bestätigte, dass sein eigenes Bild in Echtzeit übertragen wurde
  • Kolleg:innen in mehreren Hundert Meilen Entfernung sahen denselben Feed aus der Ferne

Funktionen der Condor-Kameras und aufgezeichnete Beispiele

• Condor ist eine Kamera zur Verfolgung von Personen mit Pan-Tilt-Zoom (PTZ) und unterscheidet sich von Flocks Kameras zur Kennzeichenerkennung
  • Sie kann Gesichter automatisch heranzoomen oder Personen per manueller Steuerung verfolgen
• Die exponierten Kameras filmten Menschen in hoher Auflösung in Parks, auf Parkplätzen, Straßen und Spielplätzen
  • Aufgenommen wurden unter anderem eine Frau, die auf einem Radweg in einem Vorort von Atlanta mit ihrem Hund spazieren ging, ein Mann auf dem Macy’s-Parkplatz in Bakersfield, Kinder auf einem Spielplatz und Fahrer in wartenden Fahrzeugen
  • Ein Mann, der auf Rollerblades einen Radweg in Brookhaven, Georgia, entlangfuhr, wurde nacheinander von mehreren Kameras erfasst
  • Die Videoauflösung war hoch genug, um zu erkennen, dass der Mann auf seinem Handy ein Rollerblade-Video ansah

Wie die Exponierung entdeckt wurde

• Der YouTuber und Technikexperte Benn Jordan entdeckte die Exponierung zuerst und teilte sie mit dem Sicherheitsforscher Jon “GainSec” Gaines
  • Gaines hatte bereits zuvor zahlreiche Schwachstellen in Flocks ANPR-Kameras (Automatic Number Plate Recognition) gefunden
• Die beiden fanden die Kameras mit unzureichenden Sicherheitseinstellungen über die Suchmaschine Shodan
• Um die Informationen zu verifizieren, besuchte ein Reporter die Standorte selbst und bestätigte die Kamerapositionen anhand von städtischen Verträgen und Unternehmenspräsentationen

Reaktionen und Sorgen der Forschenden

• Jordan sagte, er habe ohne Benutzernamen oder Passwort alles sehen können: Spielplätze, Parkplätze, Käufer:innen und weitere Szenen
  • Besonders die Aufnahmen von Spielplätzen mit Kindern hätten ihm die Schwere des Risikos deutlich gemacht
• Er demonstrierte außerdem, dass sich mit Teilen des exponierten Materials mithilfe von Open-Source-Tools bestimmte Personen identifizieren lassen
  • Das sollte zeigen, wie leicht sich eine solche Exponierung missbrauchen lässt

Implikationen für Sicherheit und Datenschutz

• Die Exponierung von Flocks Kameras zeigt das fehlende Sicherheitsmanagement bei KI-Überwachungssystemen
• Sie bestätigt das Risiko, dass im öffentlichen Raum aufgenommene Videos unbefugt veröffentlicht, gespeichert oder manipuliert werden können
• Beim Betrieb KI-basierter Überwachungsinfrastruktur sind stärkere Zugangskontrollen und Datenschutzmaßnahmen unverzichtbar