Flock Safety hat das Passwort für Amerikas Überwachungsinfrastruktur 53-mal fest im Code hinterlegt

 (nexanet.ai)
2 Punkte von GN⁺ 2026-01-10 | 1 Kommentare | Auf WhatsApp teilen
  • Es wurde bestätigt, dass Flock Safety, das ein landesweites Überwachungsnetzwerk in den USA betreibt, einen ArcGIS-API-Schlüssel fest im Code hinterlegt und dadurch in 53 öffentlichen JavaScript-Bundles offengelegt hat
  • Mit diesem Schlüssel war ein Zugriff auf die ArcGIS-Umgebung möglich, die Standort- und Erkennungsdaten von rund 12.000 Einrichtungen zentral verwaltet; da weder IP- noch Referrer-Beschränkungen gesetzt waren, konnte ihn jeder verwenden
  • Zu den offengelegten Daten gehörten sensible standortbezogene Informationen wie Positionen von Polizeifahrzeugen, Drohnen, Bodycams, 911-Anrufen und Kamera-Deployments
  • Der Forscher entdeckte zusätzlich eine zweite Schwachstelle, über die sich ArcGIS-Tokens ohne Authentifizierung ausstellen ließen; diese blieb über 55 Tage ungepatcht
  • Der Vorfall verdeutlicht ein ernstes Risiko für nationale Sicherheit und Datenschutz und wird als Fall bezeichnet, der Untersuchungen durch den US-Kongress und Regulierungsbehörden erfordert

Zusammenfassung und wichtigste Erkenntnisse

  • Der ArcGIS-API-Schlüssel von Flock Safety war in 53 öffentlichen Web-JavaScript-Bundles enthalten und gewährte Zugriff auf etwa 50 private Daten-Layer

    • Es handelte sich um den Standard-API-Schlüssel, also um organisationsweite Zugangsdaten, die beim Erstellen eines ArcGIS-Kontos automatisch ausgegeben werden
    • Es gab keinerlei Beschränkungen nach Referrer, IP oder Domain, sodass jeder darauf zugreifen konnte

  • Zu den mit diesem Schlüssel erreichbaren Daten gehörten Kennzeichen-Erkennungen, Standorte von Streifenwagen, Drohnen-Telemetrie, 911-Anrufe und Positionen von Überwachungskameras

    • Daten von rund 5.000 Polizeibehörden, 6.000 Gemeinden und 1.000 privaten Unternehmen waren dadurch gefährdet

  • FlockOS ist eine einheitliche kartenbasierte Oberfläche, die sämtliche Überwachungsgeräte und Daten integriert; ArcGIS bildet dafür die Grundlage

    Anzeige
    • Der offengelegte Schlüssel gewährte Zugriff auf diese gesamte integrierte Kartenebene

Flock Safety und die Überwachungsinfrastruktur

  • Flock Safety betreibt in den gesamten USA Kennzeichenleser, Drohnen und Audiosensoren und sammelt monatlich mehr als 30 Milliarden Fahrzeugerkennungen
  • Dieses System verwaltet alle Daten zentral über die ArcGIS-basierte Plattform FlockOS auf einer einzigen Karte
  • Der offengelegte API-Schlüssel fungierte als Schlüssel, der diese gesamte „One Map“-Struktur entsperrte

Details der Schwachstelle

  • Die offengelegten Zugangsdaten waren ein organisationsweiter Schlüssel, der mit der gesamten ArcGIS-Umgebung von Flock Safety verknüpft war

    • Derselbe Schlüssel wurde wiederholt an 53 öffentlichen Endpunkten gefunden
    • Jeder Endpunkt konnte eigenständig auf die ArcGIS-Umgebung zugreifen

  • Laut Esri-Dokumentation definieren API-Schlüssel die Zugriffsrechte auf öffentliche und private Inhalte und müssen vor dem Deployment zwingend in ihrem Scope sowie per Referrer eingeschränkt werden

    • Flock setzte keinerlei solche Beschränkungen um
    Anzeige

Kategorien der offengelegten Daten

  • Überwachungsinfrastruktur: Polizei-, Gemeinde- und Privatkameras, Drohnen, Audiosensoren, Geräte von Drittanbietern
  • Standortdaten: GPS von Streifenwagen, Bodycams, Smartwatches, CAD-Ereignisse, Streifenhistorie
  • Personen- und Fahrzeugdaten: Erkennungsalarme, Suchverläufe, Audio-Warnungen (einschließlich Schusserkennung)
  • Ermittlungsdaten: Hotlist-Erkennungen, Suchfilter, geografische Suchgebiete
  • Personenbezogene Daten (PII): Namen von Kameraregistrierenden, E-Mail-Adressen, Telefonnummern, Anschriften, Anzahl der Kameras
  • Flock911-Daten: Standorte von Vorfällen in Echtzeit, Call-IDs, Zugriffstokens für Aufzeichnungen, Status der Audiowiedergabe
  • Drohnen-Statusinformationen: Gerätestatus wie Aufnahme, Laden oder Offline

Wiederholtes Muster offengelegter Zugangsdaten

  • Zusätzlich zu demselben Standard-API-Schlüssel wurde eine weitere Schwachstelle entdeckt, die ArcGIS-Tokens ohne Authentifizierung ausstellte
    • Ein Token mit dem Namen „Flock Safety Prod“ konnte auf Daten realer Kameranetzwerke zugreifen
    • Nach der ersten Meldung am 13. November 2025 blieb die Lücke über 55 Tage ungepatcht
Attribut Default API Key Flock Safety Prod
Zugriffselemente 50 private Items Keine
Zugriff auf Kameranetzwerke Möglich Möglich
Ursprung JS-Bundles für Entwicklung Token-Ausstellung ohne Authentifizierung
Status Behoben (Juni 2025) Ungepatcht (über 55 Tage)
  • Die Entwicklungsumgebung hatte weiterreichende Zugriffsrechte als die Produktionsumgebung und war zudem von außen erreichbar

Risiken für nationale Sicherheit und Privatsphäre

  • Standortdaten in landesweitem Maßstab können Bewegungsmuster von Politiker:innen, Militärangehörigen und Geheimdienstmitarbeitenden offenlegen
    • Schon einfache Standortlücken könnten Rückschlüsse darauf erlauben, ob eine Spezialoperation begonnen hat
    Anzeige
  • Wenn ausländische Nachrichtendienste solche Daten missbrauchen, könnten sie Operationsinformationen selbst ohne Kommunikationsüberwachung ableiten
  • Im Inland besteht das Risiko des Missbrauchs für Verletzungen der Privatsphäre, Erpressung und Einflussnahme

Reale Missbrauchsfälle

  • Braselton, Georgia (2025): Ein Polizeichef wurde festgenommen, weil er Flock-Kameras genutzt haben soll, um eine Person zu stalken
  • Sedgwick, Kansas (2023–2024): Ein Polizeichef verfolgte eine Ex-Partnerin 228-mal und gab falsche Ermittlungsgründe an
  • Orange City, Florida (2024–2025): Ein Polizeibeamter verfolgte eine Ex-Partnerin und wurde wegen illegalen Zugriffs und Stalkings festgenommen

Diese Fälle zeigen, dass Überwachungssysteme für persönliche Zwecke missbraucht werden können

Überprüfung von Flocks Sicherheits- und Compliance-Behauptungen

  • Der CEO von Flock behauptete, „Flock wurde nie gehackt“, doch das gilt nur deshalb, weil die Schwachstellen durch Meldung entdeckt wurden und nicht durch eine bekannte Ausnutzung
  • Flock verwies auf Compliance mit CJIS, SOC 2/3 und ISO 27001, tatsächlich befand sich jedoch der Standard-API-Schlüssel in 53 öffentlichen Assets
  • Das wird nicht als bloßes Verfahrensversagen, sondern als struktureller Sicherheitsmangel bewertet

Empfehlungen

  • Bürger:innen: Offenlegung von Flock-Verträgen und Logs bei lokalen Behörden verlangen
  • Journalist:innen: Weitere Recherchen auf Basis technischer Belege durchführen
  • Strafverfolgungsbehörden: Ergebnisse von Penetrationstests des Anbieters und den Umfang des Datenzugriffs prüfen
  • Politikverantwortliche: Unabhängige Sicherheitsaudits verpflichtend machen und Untersuchungen der FTC unterstützen

Fazit

  • Der API-Schlüssel wurde zwar ersetzt, doch die Tatsache, dass zentrale Zugangsdaten für die nationale Überwachungsinfrastruktur 53-mal offengelegt wurden, ist ein schwerwiegendes Sicherheitssignal
  • Wenn bereits ein einzelner Forscher Zugriff in diesem Umfang erlangen konnte, hätten feindliche Akteure noch weit mehr Informationen sammeln können
  • Flock Safety hat damit nicht nur einen Schlüssel offengelegt, sondern das operative Herz des US-Überwachungssystems exponiert

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2026-01-10
Hacker-News-Kommentare

  • Ich mag Flock nicht, aber an den Behauptungen des Artikels ist einiges fragwürdig
    Die meisten Screenshots scheinen kein echter API-Response zu sein, sondern clientseitiger JavaScript-Code
    In der Bug-Bounty-Community sind offengelegte Google-Maps-API-Keys ein häufiger False Positive, da sie meist nur für die Abrechnung dienen und keinen Datenzugriff erlauben
    Dass ArcGIS anders ist, wird im Artikel nicht belegt

    • Kartensicherheit ist praktisch unmöglich
      Karten müssen in Behörden und im Engineering breit geteilt werden, und mit ein wenig Suche findet man leicht Wege, auch auf kostenpflichtige Layer zuzugreifen
      Dass Keys nach Projektende nicht widerrufen werden, liegt daran, dass sonst bestehende Links alle kaputtgehen und Forschung oder Planung behindert werden
      Selbst Studierende können über Hochschulvereinbarungen auf verschiedenste Kartendaten zugreifen, und am Ende sind diese Daten de facto öffentlich
      Im 21. Jahrhundert wird Privatsphäre fast unmöglich aufrechtzuerhalten

  • Das Problem mit Flock ist nicht das Sicherheitsniveau, sondern ihre bloße Existenz
    Den Standort von Menschen dauerhaft zu verfolgen, ist keine vernünftige Überwachung, sondern eine unangemessene Durchsuchung

    • Wenn mir jemand 24 Stunden am Tag folgt und Fotos sowie meine Wege dokumentiert, ist das eindeutig Stalking
      Was Flock tut, unterscheidet sich davon im Kern nicht, es ist nur weniger sichtbar
    • Wenn man sich die Fälle der letzten Jahrzehnte ansieht, kommt man am Ende zu dem Gedanken, dass ein verfassungsrechtliches Recht auf Privatsphäre ausdrücklich festgeschrieben werden muss

  • Öffentliche Kamerafeeds sind öffentliches Eigentum und sollten daher öffentlich zugänglich sein

    • Das gilt meiner Meinung nach besonders dann, wenn die Kameras von Stellen betrieben werden, die sich als öffentlicher Dienst verstehen
      Allerdings gibt es auch die Sorge, dass eine solche Offenheit am Ende zu einem crowdgesourcten Überwachungsstaat führt
    • Solche Systeme bilden auch die Grundlage dafür, Stalking-Apps leichter zu bauen

  • In einer vernünftigen Welt hätte so etwas dazu geführt, dass das Unternehmen pleitegeht und die Führungskräfte verhaftet werden

  • Jemand teilt ein Video zu adversarialen Technikexperimenten, die Kennzeichenerkennung verwirren sollen
    Allerdings ist das nicht überall legal, daher sollte man vorher die Rechtslage prüfen
    YouTube-Link

  • Jemand fragt, ob es Fälle gibt, in denen Flock-Kameras in der eigenen Stadt wieder entfernt wurden
    Bei uns wurden sie vor etwa anderthalb Jahren installiert, und die Nachbarstädte haben sie fast gleichzeitig eingeführt

    • Ich bin einer der Community-Organisatoren, die die Flock-Verträge in Eugene und Springfield, Oregon, erfolgreich gekündigt haben
      Derzeit arbeite ich mit Städten im Großraum Portland und einer Arbeitsgruppe des Landesparlaments an entsprechender Gesetzgebung
      Es ist erstaunlich, wie Flock Polizeibehörden steuert
      Zum Beispiel verkauft ein Unternehmen namens Lexipol Richtliniendokumente für die Polizei und betreibt gleichzeitig die Plattform Police1
      Police1 hilft der Polizei dabei, Fördermittel für Flock-Abos zu finden, und Flock ist dort sehr präsent
      Am Ende kauft die Polizei ihre Richtlinien bei Lexipol, und diese Richtlinien sind Flock sehr wohlgesonnen
      Flock hämmert Polizei und Stadtverantwortlichen immer wieder dieselben Werbebotschaften ein
      Flock Safety, ein YCombinator-Absolvent, macht zu seinem Produkt und seinem Geschäft stark irreführende Aussagen
    • In Redmond im Bundesstaat Washington gab es ebenfalls einen erfolgreichen Fall der Deaktivierung von Flock
      Zugehöriger Artikel
    • Auch in Sedona, Arizona, Bend, Oregon, sowie Hays County und Lockhart in Texas gab es Fälle von Vertragskündigungen oder Ablehnungen
      Sedona-Fall, Bend-Artikel, Hays-County-Artikel, Lockhart-Artikel
      Auch in unserer Stadt läuft eine Kampagne, und je bekannter der Name Flock wird, desto stärker dreht sich die öffentliche Meinung
      Wichtig ist, selbst an Stadtratssitzungen teilzunehmen und das Gespräch zu suchen
    • Auch in Flagstaff, Arizona, wurde der Flock-Vertrag gekündigt
      Artikellink
    • Mehrere Städte in Oregon und Washington haben beschlossen, ihre Flock-Verträge nicht zu verlängern
      Zugehöriger Artikel

  • Das wirkt wie das Ergebnis bloßer Inkompetenz
    Schon bei der Debatte um die Einführung von ShotSpotter wurden der CIO der Stadt und die Rechnungsprüfung außen vor gelassen, und man musste Ratsmitglieder einzeln von der Notwendigkeit technischer Prüfung überzeugen
    Hoffentlich wiederholt sich so etwas nicht

    • Aber das ist keine Inkompetenz, sondern Gleichgültigkeit
      Wenn der Wille zur Behebung da gewesen wäre, wäre es längst gelöst worden

  • Ich habe einmal einen offengelegten Key mit sensiblen Daten bei einer Behörde gemeldet, die von Millionen Menschen genutzt wird
    Jetzt verstehe ich, warum solche Schwachstellen monatelang oder sogar jahrelang liegen bleiben
    Burnout und Unwissenheit sowie eine Kultur, in der Verbergen besser erscheint als Eingestehen, sind die Ursache

  • Im Vereinigten Königreich gibt es die 'Blade Runners', die CCTV entfernen; ich frage mich, warum es in den USA keine ähnlich aktive Gegenwehr gibt

    • Die Anti-Überwachungsbewegung in den USA ist schwach, während die aggressive Seite gerade die ist, die das Überwachungssystem aufbauen will
    • In meiner Stadt wurden einige Flock-Kameras durch beschädigte Solarpanels oder zerstörte Linsen deaktiviert, aber laut Vertrag trägt die Stadt die Reparaturkosten
    • Das Risiko strafrechtlicher Folgen ist hoch, und Anwaltskosten sind teuer, deshalb ist es schwer, selbst aktiv zu werden
      Dazu kommt das Risiko, auf gewalttätige Polizeikräfte zu treffen
    • Auf der Flock-Website findet man auch Erklärungen zu Drohnenfunktionen
    • Wir leiden zunehmend unter einer neuen Form von Schreckensherrschaft (Gestapo)
      Man nennt sich selbst „Verteidiger der Freiheit“, leistet in Wirklichkeit aber kaum Widerstand