Camera giám sát AI của Flock đã bị phơi ra trên Internet. Chúng tôi đã tự lần theo chính mình

• Ít nhất 60 camera Condor PTZ tích hợp AI của Flock trên khắp nước Mỹ đã bị lộ ra Internet mà không có mật khẩu
• Từ các camera bị lộ này, người ta có thể xem video trực tiếp, tải xuống video trong 30 ngày, thay đổi cài đặt và truy cập nhật ký
• Camera Condor là thiết bị được thiết kế để theo dõi khuôn mặt và chuyển động của con người thay vì biển số xe, với khả năng zoom và xoay
• Các nhà nghiên cứu đã phát hiện tình trạng lộ lọt này thông qua công cụ tìm kiếm Shodan, và thực tế có thể nhận diện con người tại công viên, bãi đỗ xe, đường xe đạp
• Đây là một ví dụ cho thấy rủi ro giám sát trái phép và lộ dữ liệu cá nhân ở không gian công cộng, làm nổi bật nhu cầu quản lý bảo mật đối với hạ tầng giám sát AI

Tình trạng lộ lọt của camera Flock Condor

• Ít nhất 60 camera Condor PTZ gắn AI của Flock đã bị công khai trên Internet
  • Bất kỳ ai cũng có thể xem video trực tiếp hoặc tải xuống video trong 30 ngày mà không cần đăng nhập
  • Thông qua quyền truy cập vào bảng quản trị, người ta có thể thay đổi cài đặt, xem tệp nhật ký và chạy chẩn đoán
• Phóng viên đã trực tiếp đứng trước một camera tại giao lộ ở Bakersfield, California và xác nhận hình ảnh của chính mình đang được phát trực tiếp theo thời gian thực
  • Các đồng nghiệp ở cách đó hàng trăm dặm cũng xem được cùng luồng video từ xa

Tính năng của camera Condor và các trường hợp ghi hình

• Condor là camera theo dõi con người có chức năng pan-tilt-zoom (PTZ), khác với camera Flock dùng để nhận diện biển số xe
  • Nó có thể tự động phóng to khuôn mặt con người hoặc theo dõi bằng điều khiển thủ công
• Các camera bị lộ đang quay con người với độ phân giải cao tại công viên, bãi đỗ xe, đường sá, sân chơi
  • Hình ảnh ghi lại bao gồm một phụ nữ dắt chó đi dạo trên đường xe đạp ở ngoại ô Atlanta, một người đàn ông ở bãi đỗ xe Macy’s tại Bakersfield, trẻ em trong sân chơi và tài xế trong các xe đang chờ đèn đỏ
  • Một người đàn ông trượt rollerblade trên đường xe đạp ở Brookhaven, Georgia đã bị nhiều camera ghi lại liên tiếp
  • Độ phân giải video cao đến mức có thể nhận ra cảnh người đàn ông đang xem video rollerblade trên điện thoại

Quá trình phát hiện vụ lộ lọt

• YouTuber và chuyên gia công nghệ Benn Jordan là người đầu tiên phát hiện tình trạng lộ lọt và chia sẻ với nhà nghiên cứu bảo mật Jon “GainSec” Gaines
  • Gaines trước đó cũng đã phát hiện nhiều lỗ hổng trong camera nhận diện biển số tự động (ANPR) của Flock
• Hai người đã dùng công cụ tìm kiếm Shodan để tìm các camera có cấu hình bảo mật yếu
• Để kiểm chứng thông tin họ cung cấp, phóng viên đã trực tiếp đến hiện trường và xác nhận vị trí camera thông qua hợp đồng với thành phố và tài liệu thuyết trình của doanh nghiệp

Phản ứng và lo ngại của các nhà nghiên cứu

• Jordan cho biết ông có thể xem mọi thứ như sân chơi, bãi đỗ xe và người mua sắm mà không cần tên người dùng hay mật khẩu
  • Ông nói rằng đặc biệt cảm thấy mức độ nguy hiểm là rất nghiêm trọng khi nhìn thấy video sân chơi có trẻ em
• Ông đã trình diễn việc sử dụng một phần video bị lộ để nhận diện một người cụ thể bằng công cụ mã nguồn mở
  • Mục đích là để cho thấy khả năng bị lợi dụng của kiểu lộ lọt này

Hàm ý về bảo mật và quyền riêng tư

• Vụ lộ camera của Flock cho thấy sự thiếu sót trong quản lý bảo mật của hệ thống giám sát AI
• Nó xác nhận nguy cơ video quay ở nơi công cộng có thể bị công khai, lưu trữ và thao túng trái phép
• Khi vận hành hạ tầng giám sát dùng AI, việc tăng cường kiểm soát truy cập và các biện pháp bảo vệ dữ liệu là bắt buộc