Flock Safety hardcode mật khẩu của hạ tầng giám sát Mỹ tới 53 lần

 (nexanet.ai)
2 điểm bởi GN⁺ 2026-01-10 | 1 bình luận | Chia sẻ qua WhatsApp
  • Đã xác nhận rằng Flock Safety, đơn vị vận hành mạng lưới giám sát trên khắp nước Mỹ, đã hardcode khóa ArcGIS API và làm lộ nó trong 53 gói JavaScript công khai
  • Khóa này có thể truy cập vào môi trường ArcGIS quản lý tập trung dữ liệu vị trí và phát hiện của khoảng 12.000 tổ chức, và do không có giới hạn IP hay referrer nên bất kỳ ai cũng có thể sử dụng
  • Dữ liệu bị lộ bao gồm thông tin vị trí nhạy cảm như vị trí xe cảnh sát, drone, bodycam, cuộc gọi 911 và bố trí camera
  • Nhà nghiên cứu còn phát hiện thêm lỗ hổng thứ hai cho phép cấp token ArcGIS mà không cần xác thực, và lỗ hổng này đã không được vá trong hơn 55 ngày
  • Vụ việc cho thấy rủi ro nghiêm trọng đối với an ninh quốc gia và bảo vệ quyền riêng tư, và được chỉ ra là vấn đề cần Quốc hội Mỹ cùng các cơ quan quản lý điều tra

Tóm tắt và phát hiện chính

  • Khóa ArcGIS API của Flock Safety đã được nhúng trong 53 gói JavaScript web công khai, cấp quyền truy cập vào khoảng 50 lớp dữ liệu riêng tư

    • Đây là khóa API mặc định, tức thông tin xác thực cấp toàn tổ chức được tự động cấp khi tạo tài khoản ArcGIS
    • Không có giới hạn referrer, IP hay domain nên ai cũng có thể truy cập

  • Dữ liệu có thể truy cập bằng khóa này bao gồm phát hiện biển số xe, vị trí xe tuần tra, telemetry drone, cuộc gọi 911, vị trí camera giám sát

    • Dữ liệu của khoảng 5.000 sở cảnh sát, 6.000 cộng đồng, 1.000 doanh nghiệp tư nhân đã bị đặt vào tình trạng rủi ro

  • FlockOS là giao diện dựa trên bản đồ hợp nhất mọi thiết bị giám sát và dữ liệu, với ArcGIS đóng vai trò nền tảng

    • Khóa bị lộ này cấp quyền truy cập vào toàn bộ lớp bản đồ tích hợp đó

Flock Safety và hạ tầng giám sát

  • Flock Safety vận hành thiết bị đọc biển số xe, drone, cảm biến âm thanh trên khắp nước Mỹ và thu thập hơn 30 tỷ bản ghi phát hiện phương tiện mỗi tháng
  • Hệ thống này hợp nhất toàn bộ dữ liệu trên một bản đồ thông qua nền tảng dựa trên ArcGIS mang tên FlockOS
  • Khóa API bị lộ đóng vai trò như chiếc chìa khóa mở toàn bộ cấu trúc “One Map” này

Chi tiết lỗ hổng

  • Thông tin xác thực bị lộ là khóa cấp tổ chức được kết nối với toàn bộ môi trường ArcGIS của Flock Safety

    • Cùng một khóa đã được phát hiện lặp lại ở 53 endpoint công khai
    • Mỗi endpoint đều có thể độc lập truy cập môi trường ArcGIS

  • Theo tài liệu của Esri, khóa API xác định quyền truy cập vào nội dung công khai và riêng tư, và bắt buộc phải giới hạn phạm vi cùng referrer trước khi triển khai

    • Flock hoàn toàn không áp dụng các giới hạn này

Các nhóm dữ liệu bị lộ

  • Hạ tầng giám sát: camera của cảnh sát, cộng đồng, tư nhân, drone, cảm biến âm thanh, thiết bị bên thứ ba
  • Dữ liệu vị trí: GPS xe tuần tra, bodycam, smartwatch, sự kiện CAD, lịch sử tuần tra
  • Thông tin người và phương tiện: cảnh báo phát hiện, lịch sử tìm kiếm, cảnh báo âm thanh (bao gồm phát hiện tiếng súng)
  • Dữ liệu điều tra: phát hiện hotlist, bộ lọc tìm kiếm, khu vực tìm kiếm địa lý
  • Thông tin nhận dạng cá nhân (PII): tên, email, số điện thoại, địa chỉ, số lượng camera của người đăng ký camera
  • Dữ liệu Flock911: vị trí sự cố theo thời gian thực, ID cuộc gọi, token truy cập bản ghi âm, trạng thái phát audio
  • Thông tin trạng thái drone: hiển thị trạng thái thiết bị như ghi hình, sạc, offline

Mẫu lộ thông tin xác thực lặp đi lặp lại

  • Ngoài cùng một khóa API mặc định, còn phát hiện thêm lỗ hổng cấp token ArcGIS không cần xác thực
    • Token mang tên “Flock Safety Prod” có thể truy cập dữ liệu mạng camera thực tế
    • Sau khi được báo cáo lần đầu vào ngày 13 tháng 11 năm 2025, lỗ hổng vẫn chưa được vá trong hơn 55 ngày
Thuộc tính Default API Key Flock Safety Prod
Hạng mục truy cập 50 mục riêng tư Không có
Truy cập mạng camera Có thể Có thể
Nguồn gốc Gói JS phục vụ phát triển Cấp token không cần xác thực
Trạng thái Đã khắc phục (tháng 6 năm 2025) Chưa vá (hơn 55 ngày)
  • Môi trường phát triển có quyền truy cập rộng hơn môi trường production, và lại có thể bị truy cập từ bên ngoài

Rủi ro đối với an ninh quốc gia và quyền riêng tư

  • Dữ liệu vị trí ở quy mô toàn quốc có thể làm lộ mẫu di chuyển của chính trị gia, nhân sự quân đội, nhân viên tình báo
    • Chỉ riêng những khoảng trống vị trí cũng có thể bị dùng để suy đoán việc khởi động chiến dịch đặc biệt
  • Nếu cơ quan tình báo nước ngoài lạm dụng dữ liệu này, họ có thể suy luận thông tin tác chiến mà không cần nghe lén liên lạc
  • Trong nước, cũng tồn tại nguy cơ bị lạm dụng cho xâm phạm đời tư, đe dọa, gây ảnh hưởng

Các trường hợp lạm dụng thực tế

  • Braselton, bang Georgia (2025): cảnh sát trưởng bị bắt với cáo buộc dùng camera Flock để theo dõi một cá nhân
  • Sedgwick, bang Kansas (2023–2024): cảnh sát trưởng theo dõi người yêu cũ 228 lần và nhập lý do điều tra giả
  • Orange City, bang Florida (2024–2025): một cảnh sát theo dõi người yêu cũ, bị bắt với cáo buộc truy cập trái phép và stalking

Những trường hợp này cho thấy hệ thống giám sát có thể bị lạm dụng cho mục đích cá nhân

Kiểm chứng các tuyên bố về bảo mật và tuân thủ của Flock

  • CEO của Flock tuyên bố rằng “Flock chưa từng bị hack”, nhưng điều đó là vì lỗ hổng được phát hiện qua báo cáo chứ chưa bị khai thác
  • Flock tuyên bố tuân thủ CJIS, SOC 2/3, ISO 27001, nhưng trên thực tế khóa API mặc định đã nằm trong 53 tài sản công khai
  • Điều này được đánh giá không phải là thất bại thủ tục đơn thuần mà là khiếm khuyết bảo mật mang tính cấu trúc

Khuyến nghị

  • Người dân: yêu cầu công khai hợp đồng Flock và log với chính quyền địa phương
  • Nhà báo: tiếp tục điều tra dựa trên bằng chứng kỹ thuật
  • Cơ quan thực thi pháp luật: kiểm tra kết quả penetration test của nhà cung cấp và phạm vi truy cập dữ liệu
  • Nhà hoạch định chính sách: bắt buộc kiểm toán bảo mật độc lập và hỗ trợ điều tra của FTC

Kết luận

  • Dù khóa API đã được thay thế, việc thông tin xác thực truy cập cốt lõi của hạ tầng giám sát quốc gia bị lộ tới 53 lần vẫn là một cảnh báo bảo mật nghiêm trọng
  • Nếu chỉ một nhà nghiên cứu đã có thể đạt được mức truy cập ở quy mô này, thì các tác nhân thù địch có thể đã thu thập được nhiều thông tin hơn nữa
  • Flock Safety bị đánh giá là không chỉ làm rò rỉ một khóa, mà còn phơi bày phần lõi vận hành của hệ thống giám sát Mỹ

Bài viết liên quan

1 bình luận

 
GN⁺ 2026-01-10
Ý kiến trên Hacker News

  • Tôi không thích Flock, nhưng có điểm đáng nghi trong những gì bài báo cáo buộc
    Phần lớn ảnh chụp màn hình trông giống mã JavaScript phía client chứ không phải phản hồi API thực tế
    Trong cộng đồng bug bounty, việc lộ Google Maps API key là một trường hợp dương tính giả (false positive) rất phổ biến, vì nó chỉ dùng cho thanh toán chứ không có quyền truy cập dữ liệu
    Bài báo cũng không đưa ra bằng chứng cho thấy ArcGIS là ngoại lệ

    • Bảo mật bản đồ về cơ bản là bất khả thi
      Bản đồ cần được chia sẻ rộng rãi trong chính phủ hoặc lĩnh vực kỹ thuật, và chỉ cần tìm một chút là có thể dễ dàng thấy cách truy cập cả những lớp trả phí
      Lý do người ta không thu hồi key sau khi dự án kết thúc là vì nếu làm vậy thì mọi liên kết cũ đều sẽ hỏng, gây cản trở cho nghiên cứu hay lập kế hoạch
      Ngay cả sinh viên đại học cũng có thể tiếp cận nhiều loại dữ liệu bản đồ thông qua thỏa thuận của trường, và rốt cuộc dữ liệu đó trên thực tế là công khai
      Trong thế kỷ 21, việc giữ gìn quyền riêng tư gần như bất khả thi

  • Vấn đề của Flock không phải là mức độ bảo mật, mà là sự tồn tại của chính họ
    Việc liên tục theo dõi vị trí của ai đó không phải giám sát hợp lý mà là một cuộc lục soát vô lý

    • Nếu có ai đó theo tôi suốt 24 giờ mỗi ngày, chụp ảnh và ghi lại hành trình di chuyển của tôi, thì đó rõ ràng là theo dõi quấy rối
      Nhưng về bản chất, hành vi của Flock cũng không khác, chỉ là ít bị chú ý hơn
    • Nhìn vào các trường hợp trong vài chục năm qua, tôi đi đến suy nghĩ rằng cuối cùng phải có một quyền riêng tư ở cấp hiến pháp được ghi rõ

  • Feed từ camera công cộng là tài sản công, nên phải được công khai

    • Tôi nghĩ điều đó lại càng đúng nếu đó là camera do một tổ chức tự nhận đang cung cấp dịch vụ công vận hành
      Tuy vậy, cũng có lo ngại rằng kiểu công khai này cuối cùng sẽ dẫn đến việc crowdsource nhà nước giám sát
    • Các hệ thống kiểu này cũng trở thành nền tảng giúp tạo ra ứng dụng theo dõi quấy rối dễ hơn

  • Trong một thế giới còn chút lẽ thường, chuyện này hẳn đã dẫn đến việc công ty phá sản và ban lãnh đạo bị bắt giam

  • Chia sẻ một video thử nghiệm kỹ thuật đối kháng để làm rối hệ thống nhận diện biển số
    Tuy nhiên, điều này không hợp pháp ở mọi nơi, nên cần kiểm tra luật địa phương
    Liên kết YouTube

  • Tôi tò mò không biết đã có trường hợp nào gỡ bỏ được camera Flock ở thành phố của mình chưa
    Khu vực của chúng tôi được lắp đặt khoảng một năm rưỡi trước, và các thành phố lân cận cũng áp dụng gần như cùng lúc

    • Tôi là một trong những nhà tổ chức cộng đồng đã thành công hủy hợp đồng với Flock ở Eugene và Springfield, bang Oregon
      Hiện tôi đang làm việc với các thành phố gần Portland và một nhóm công tác của nghị viện bang để thúc đẩy luật liên quan
      Cách Flock thao túng các sở cảnh sát thật đáng kinh ngạc
      Ví dụ, một công ty tên Lexipol bán tài liệu chính sách cho cảnh sát, đồng thời vận hành nền tảng Police1
      Police1 giúp cảnh sát tìm nguồn tài trợ để đăng ký Flock, và Flock xuất hiện rất tích cực ở đó
      Cuối cùng cảnh sát mua chính sách từ Lexipol, và những chính sách đó lại rất có lợi cho Flock
      Flock liên tục nhồi cùng một bộ lời lẽ quảng bá cho cảnh sát và quan chức thành phố
      Flock Safety, công ty xuất thân từ YCombinator, đang đưa ra những tuyên bố rất dễ gây hiểu lầm về sản phẩm và hoạt động kinh doanh của mình
    • Ở Redmond, bang Washington, cũng đã có trường hợp thành công vô hiệu hóa Flock
      Bài viết liên quan
    • Ở Sedona, Arizona; Bend, Oregon; Hays County, Texas; và Lockhart cũng có các trường hợp chấm dứt hoặc từ chối hợp đồng
      Trường hợp Sedona, Bài viết về Bend, Bài viết về Hays County, Bài viết về Lockhart
      Chúng tôi cũng đang vận động tại thành phố mình, và khi cái tên Flock được biết đến nhiều hơn thì dư luận cũng đang thay đổi
      Việc trực tiếp tham gia các cuộc họp hội đồng thành phố và đối thoại là rất quan trọng
    • Ở Flagstaff, Arizona, hợp đồng với Flock cũng đã bị hủy
      Liên kết bài viết
    • Nhiều thành phố ở Oregon và Washington đã quyết định không gia hạn hợp đồng với Flock
      Bài viết liên quan

  • Có vẻ đây chỉ là hệ quả của sự kém năng lực
    Khi còn tranh cãi về việc triển khai ShotSpotter, CIO và kiểm toán viên của thành phố cũng bị gạt ra ngoài, và phải đi thuyết phục từng nghị viên để có được thẩm định kỹ thuật
    Mong là chuyện như vậy sẽ không lặp lại

    • Nhưng đây không phải kém năng lực mà là vấn đề thờ ơ
      Nếu có ý chí sửa thì họ đã xử lý từ lâu rồi

  • Tôi từng phát hiện và báo cáo một key làm lộ dữ liệu nhạy cảm ở một cơ quan công phục vụ hàng triệu người
    Giờ tôi đã hiểu vì sao những lỗ hổng như vậy bị bỏ mặc hàng tháng, thậm chí hàng năm
    Kiệt sức và thiếu hiểu biết, cùng với một nền văn hóa cho rằng che giấu vấn đề còn tốt hơn thừa nhận nó, chính là nguyên nhân

  • Ở Anh có những người ‘Blade Runners’ tháo dỡ CCTV, nên tôi tự hỏi vì sao ở Mỹ lại không có phản ứng quyết liệt như vậy

    • Lực lượng chống giám sát ở Mỹ rất yếu, trong khi phía quyết liệt hơn lại chính là bên muốn xây dựng hệ thống giám sát
    • Ở thành phố tôi, một số camera Flock đã bị vô hiệu hóa do tấm pin mặt trời hoặc ống kính bị phá hỏng, nhưng theo hợp đồng thì thành phố phải chịu chi phí sửa chữa
    • Rủi ro bị xử phạt pháp lý lớn, chi phí luật sư đắt đỏ nên rất khó để hành động
      Hơn nữa còn có nguy cơ phải đối mặt với cảnh sát bạo lực
    • Nếu vào trang chủ Flock, bạn cũng có thể thấy phần mô tả về tính năng drone
    • Chúng ta đang ngày càng phải chịu đựng một hình thức chính trị khủng bố kiểu gestapo mới
      Người ta tự gọi mình là ‘người bảo vệ tự do’, nhưng trên thực tế lại hầu như không thể kháng cự