Flock Safety hat das Passwort für Amerikas Überwachungsinfrastruktur 53-mal fest im Code hinterlegt

 (nexanet.ai)
2 Punkte von GN⁺ 2026-01-10 | Noch keine Kommentare. | Auf WhatsApp teilen
  • Es wurde bestätigt, dass Flock Safety, das ein landesweites Überwachungsnetzwerk in den USA betreibt, einen ArcGIS-API-Schlüssel fest im Code hinterlegt und dadurch in 53 öffentlichen JavaScript-Bundles offengelegt hat
  • Mit diesem Schlüssel war ein Zugriff auf die ArcGIS-Umgebung möglich, die Standort- und Erkennungsdaten von rund 12.000 Einrichtungen zentral verwaltet; da weder IP- noch Referrer-Beschränkungen gesetzt waren, konnte ihn jeder verwenden
  • Zu den offengelegten Daten gehörten sensible standortbezogene Informationen wie Positionen von Polizeifahrzeugen, Drohnen, Bodycams, 911-Anrufen und Kamera-Deployments
  • Der Forscher entdeckte zusätzlich eine zweite Schwachstelle, über die sich ArcGIS-Tokens ohne Authentifizierung ausstellen ließen; diese blieb über 55 Tage ungepatcht
  • Der Vorfall verdeutlicht ein ernstes Risiko für nationale Sicherheit und Datenschutz und wird als Fall bezeichnet, der Untersuchungen durch den US-Kongress und Regulierungsbehörden erfordert

Zusammenfassung und wichtigste Erkenntnisse

  • Der ArcGIS-API-Schlüssel von Flock Safety war in 53 öffentlichen Web-JavaScript-Bundles enthalten und gewährte Zugriff auf etwa 50 private Daten-Layer

    • Es handelte sich um den Standard-API-Schlüssel, also um organisationsweite Zugangsdaten, die beim Erstellen eines ArcGIS-Kontos automatisch ausgegeben werden
    • Es gab keinerlei Beschränkungen nach Referrer, IP oder Domain, sodass jeder darauf zugreifen konnte

  • Zu den mit diesem Schlüssel erreichbaren Daten gehörten Kennzeichen-Erkennungen, Standorte von Streifenwagen, Drohnen-Telemetrie, 911-Anrufe und Positionen von Überwachungskameras

    • Daten von rund 5.000 Polizeibehörden, 6.000 Gemeinden und 1.000 privaten Unternehmen waren dadurch gefährdet

  • FlockOS ist eine einheitliche kartenbasierte Oberfläche, die sämtliche Überwachungsgeräte und Daten integriert; ArcGIS bildet dafür die Grundlage

    • Der offengelegte Schlüssel gewährte Zugriff auf diese gesamte integrierte Kartenebene

Flock Safety und die Überwachungsinfrastruktur

  • Flock Safety betreibt in den gesamten USA Kennzeichenleser, Drohnen und Audiosensoren und sammelt monatlich mehr als 30 Milliarden Fahrzeugerkennungen
  • Dieses System verwaltet alle Daten zentral über die ArcGIS-basierte Plattform FlockOS auf einer einzigen Karte
  • Der offengelegte API-Schlüssel fungierte als Schlüssel, der diese gesamte „One Map“-Struktur entsperrte

Details der Schwachstelle

  • Die offengelegten Zugangsdaten waren ein organisationsweiter Schlüssel, der mit der gesamten ArcGIS-Umgebung von Flock Safety verknüpft war

    • Derselbe Schlüssel wurde wiederholt an 53 öffentlichen Endpunkten gefunden
    • Jeder Endpunkt konnte eigenständig auf die ArcGIS-Umgebung zugreifen

  • Laut Esri-Dokumentation definieren API-Schlüssel die Zugriffsrechte auf öffentliche und private Inhalte und müssen vor dem Deployment zwingend in ihrem Scope sowie per Referrer eingeschränkt werden

    • Flock setzte keinerlei solche Beschränkungen um

Kategorien der offengelegten Daten

  • Überwachungsinfrastruktur: Polizei-, Gemeinde- und Privatkameras, Drohnen, Audiosensoren, Geräte von Drittanbietern
  • Standortdaten: GPS von Streifenwagen, Bodycams, Smartwatches, CAD-Ereignisse, Streifenhistorie
  • Personen- und Fahrzeugdaten: Erkennungsalarme, Suchverläufe, Audio-Warnungen (einschließlich Schusserkennung)
  • Ermittlungsdaten: Hotlist-Erkennungen, Suchfilter, geografische Suchgebiete
  • Personenbezogene Daten (PII): Namen von Kameraregistrierenden, E-Mail-Adressen, Telefonnummern, Anschriften, Anzahl der Kameras
  • Flock911-Daten: Standorte von Vorfällen in Echtzeit, Call-IDs, Zugriffstokens für Aufzeichnungen, Status der Audiowiedergabe
  • Drohnen-Statusinformationen: Gerätestatus wie Aufnahme, Laden oder Offline

Wiederholtes Muster offengelegter Zugangsdaten

  • Zusätzlich zu demselben Standard-API-Schlüssel wurde eine weitere Schwachstelle entdeckt, die ArcGIS-Tokens ohne Authentifizierung ausstellte
    • Ein Token mit dem Namen „Flock Safety Prod“ konnte auf Daten realer Kameranetzwerke zugreifen
    • Nach der ersten Meldung am 13. November 2025 blieb die Lücke über 55 Tage ungepatcht
Attribut Default API Key Flock Safety Prod
Zugriffselemente 50 private Items Keine
Zugriff auf Kameranetzwerke Möglich Möglich
Ursprung JS-Bundles für Entwicklung Token-Ausstellung ohne Authentifizierung
Status Behoben (Juni 2025) Ungepatcht (über 55 Tage)
  • Die Entwicklungsumgebung hatte weiterreichende Zugriffsrechte als die Produktionsumgebung und war zudem von außen erreichbar

Risiken für nationale Sicherheit und Privatsphäre

  • Standortdaten in landesweitem Maßstab können Bewegungsmuster von Politiker:innen, Militärangehörigen und Geheimdienstmitarbeitenden offenlegen
    • Schon einfache Standortlücken könnten Rückschlüsse darauf erlauben, ob eine Spezialoperation begonnen hat
  • Wenn ausländische Nachrichtendienste solche Daten missbrauchen, könnten sie Operationsinformationen selbst ohne Kommunikationsüberwachung ableiten
  • Im Inland besteht das Risiko des Missbrauchs für Verletzungen der Privatsphäre, Erpressung und Einflussnahme

Reale Missbrauchsfälle

  • Braselton, Georgia (2025): Ein Polizeichef wurde festgenommen, weil er Flock-Kameras genutzt haben soll, um eine Person zu stalken
  • Sedgwick, Kansas (2023–2024): Ein Polizeichef verfolgte eine Ex-Partnerin 228-mal und gab falsche Ermittlungsgründe an
  • Orange City, Florida (2024–2025): Ein Polizeibeamter verfolgte eine Ex-Partnerin und wurde wegen illegalen Zugriffs und Stalkings festgenommen

Diese Fälle zeigen, dass Überwachungssysteme für persönliche Zwecke missbraucht werden können

Überprüfung von Flocks Sicherheits- und Compliance-Behauptungen

  • Der CEO von Flock behauptete, „Flock wurde nie gehackt“, doch das gilt nur deshalb, weil die Schwachstellen durch Meldung entdeckt wurden und nicht durch eine bekannte Ausnutzung
  • Flock verwies auf Compliance mit CJIS, SOC 2/3 und ISO 27001, tatsächlich befand sich jedoch der Standard-API-Schlüssel in 53 öffentlichen Assets
  • Das wird nicht als bloßes Verfahrensversagen, sondern als struktureller Sicherheitsmangel bewertet

Empfehlungen

  • Bürger:innen: Offenlegung von Flock-Verträgen und Logs bei lokalen Behörden verlangen
  • Journalist:innen: Weitere Recherchen auf Basis technischer Belege durchführen
  • Strafverfolgungsbehörden: Ergebnisse von Penetrationstests des Anbieters und den Umfang des Datenzugriffs prüfen
  • Politikverantwortliche: Unabhängige Sicherheitsaudits verpflichtend machen und Untersuchungen der FTC unterstützen

Fazit

  • Der API-Schlüssel wurde zwar ersetzt, doch die Tatsache, dass zentrale Zugangsdaten für die nationale Überwachungsinfrastruktur 53-mal offengelegt wurden, ist ein schwerwiegendes Sicherheitssignal
  • Wenn bereits ein einzelner Forscher Zugriff in diesem Umfang erlangen konnte, hätten feindliche Akteure noch weit mehr Informationen sammeln können
  • Flock Safety hat damit nicht nur einen Schlüssel offengelegt, sondern das operative Herz des US-Überwachungssystems exponiert

Verwandte Beiträge

Noch keine Kommentare.

Noch keine Kommentare.