Flock Safety Meng-hardcode Kata Sandi Infrastruktur Pengawasan AS sebanyak 53 Kali

 (nexanet.ai)
2 poin oleh GN⁺ 2026-01-10 | 1 komentar | Bagikan ke WhatsApp
  • Terungkap bahwa Flock Safety, yang mengoperasikan jaringan pengawasan di seluruh Amerika Serikat, meng-hardcode kunci API ArcGIS dan mengeksposnya dalam 53 bundel JavaScript publik
  • Kunci ini dapat mengakses lingkungan ArcGIS yang mengelola secara terpusat data lokasi dan deteksi dari sekitar 12.000 organisasi, dan dapat digunakan siapa saja karena tidak ada pembatasan IP maupun referrer
  • Data yang terekspos mencakup informasi berbasis lokasi yang sensitif seperti posisi mobil patroli polisi, drone, body cam, panggilan 911, dan penempatan kamera
  • Peneliti juga menemukan kerentanan kedua yang memungkinkan penerbitan token ArcGIS tanpa autentikasi tambahan, dan kondisi ini tidak ditambal selama lebih dari 55 hari
  • Insiden ini dinilai menunjukkan risiko serius terhadap keamanan nasional dan perlindungan privasi, sehingga dianggap perlu diselidiki oleh Kongres AS dan regulator

Ringkasan dan temuan utama

  • Kunci API ArcGIS milik Flock Safety ditemukan tertanam dalam 53 bundel JavaScript web publik, yang memberikan akses ke sekitar 50 layer data privat

    • Kunci tersebut adalah API key default, yaitu kredensial tingkat organisasi yang otomatis diterbitkan saat membuat akun ArcGIS
    • Tidak ada pembatasan referrer, IP, maupun domain sehingga dapat diakses siapa saja

  • Data yang dapat diakses melalui kunci ini mencakup deteksi pelat nomor kendaraan, lokasi mobil patroli, telemetri drone, panggilan 911, dan lokasi kamera pengawasan

    • Data dari sekitar 5.000 kantor polisi, 6.000 komunitas, dan 1.000 perusahaan swasta berada dalam risiko paparan

  • FlockOS adalah antarmuka tunggal berbasis peta yang mengintegrasikan semua peralatan dan data pengawasan, dengan ArcGIS sebagai fondasinya

    • Kunci yang terekspos memberi hak akses ke seluruh lapisan peta terintegrasi tersebut

Flock Safety dan infrastruktur pengawasan

  • Flock Safety mengoperasikan pembaca pelat nomor kendaraan, drone, dan sensor audio di seluruh AS, serta mengumpulkan lebih dari 30 miliar data deteksi kendaraan setiap bulan
  • Sistem ini mengelola seluruh data secara terintegrasi dalam satu peta melalui platform berbasis ArcGIS bernama FlockOS
  • Kunci API yang terekspos berfungsi sebagai kunci pembuka untuk seluruh struktur “One Map” ini

Rincian kerentanan

  • Kredensial yang terekspos adalah kunci tingkat organisasi yang terhubung ke seluruh lingkungan ArcGIS milik Flock Safety

    • Kunci yang sama berulang kali ditemukan di 53 endpoint publik
    • Setiap endpoint secara independen dapat mengakses lingkungan ArcGIS

  • Menurut dokumentasi Esri, API key mendefinisikan hak akses ke konten publik dan privat, dan sebelum diterapkan harus dibatasi cakupan serta referrernya

    • Flock sama sekali tidak menerapkan pembatasan tersebut

Kategori data yang terekspos

  • Infrastruktur pengawasan: kamera polisi, komunitas, dan swasta, drone, sensor audio, serta perangkat pihak ketiga
  • Data lokasi: GPS mobil patroli, body cam, smartwatch, event CAD, dan riwayat patroli
  • Informasi orang dan kendaraan: alert deteksi, riwayat pencarian, dan peringatan audio termasuk deteksi tembakan
  • Data investigasi: deteksi hotlist, filter pencarian, dan area pencarian geografis
  • Informasi identitas pribadi (PII): nama pendaftar kamera, email, nomor telepon, alamat, dan jumlah kamera
  • Data Flock911: lokasi insiden real-time, ID panggilan, token akses rekaman, dan status pemutaran audio
  • Informasi status drone: status perangkat seperti merekam, mengisi daya, offline, dan lain-lain

Pola paparan kredensial yang berulang

  • Selain API key default yang sama, juga ditemukan kerentanan yang menerbitkan token ArcGIS tanpa autentikasi
    • Token bernama “Flock Safety Prod” dapat mengakses data jaringan kamera yang sebenarnya
    • Setelah pelaporan pertama pada 13 November 2025, kondisinya tetap belum ditambal selama lebih dari 55 hari
Properti Default API Key Flock Safety Prod
Item yang dapat diakses 50 item privat Tidak ada
Akses jaringan kamera Bisa Bisa
Sumber Bundel JS untuk pengembangan Penerbitan token tanpa autentikasi
Status Sudah diperbaiki (Juni 2025) Belum ditambal (lebih dari 55 hari)
  • Lingkungan pengembangan memiliki hak akses yang lebih luas daripada lingkungan produksi, dan juga dapat diakses dari luar

Risiko keamanan nasional dan privasi

  • Data lokasi berskala nasional dapat mengekspos pola pergerakan politisi, personel militer, dan agen intelijen
    • Bahkan hanya dari kekosongan lokasi saja, orang bisa memperkirakan apakah operasi khusus sedang dimulai
  • Jika disalahgunakan oleh badan intelijen asing, data seperti ini dapat digunakan untuk menyimpulkan informasi operasi tanpa perlu menyadap komunikasi
  • Di dalam negeri, ada risiko penyalahgunaan untuk pelanggaran privasi, pemerasan, dan pengaruh terhadap individu

Contoh penyalahgunaan nyata

  • Braselton, Georgia (2025): kepala kepolisian ditangkap atas tuduhan menguntit seseorang menggunakan kamera Flock
  • Sedgwick, Kansas (2023–2024): kepala kepolisian melacak mantan pasangan 228 kali dan memasukkan alasan investigasi palsu
  • Orange City, Florida (2024–2025): seorang polisi melacak mantan pasangan dan ditangkap atas tuduhan akses ilegal serta penguntitan

Kasus-kasus ini menunjukkan bahwa sistem pengawasan dapat disalahgunakan untuk kepentingan pribadi

Verifikasi klaim keamanan dan kepatuhan Flock

  • CEO Flock mengklaim bahwa “Flock tidak pernah diretas”, tetapi itu karena kerentanannya ditemukan melalui pelaporan dan belum sempat dieksploitasi
  • Flock mengklaim mematuhi CJIS, SOC 2/3, ISO 27001, dan lainnya, namun pada kenyataannya API key default tertanam di 53 aset publik
  • Hal ini dinilai bukan sekadar kegagalan prosedural, melainkan cacat keamanan yang bersifat struktural

Rekomendasi

  • Warga: minta pembukaan kontrak Flock dan log akses dari pemerintah daerah
  • Jurnalis: lakukan investigasi lanjutan berdasarkan bukti teknis
  • Penegak hukum: verifikasi hasil penetration test vendor dan cakupan akses datanya
  • Pembuat kebijakan: wajibkan audit keamanan independen dan dukung investigasi FTC

Kesimpulan

  • API key memang telah diganti, tetapi fakta bahwa kredensial akses inti infrastruktur pengawasan nasional terekspos 53 kali adalah peringatan keamanan yang sangat serius
  • Jika satu peneliti saja bisa memperoleh akses sebesar ini, maka aktor yang berniat jahat kemungkinan bisa mengumpulkan informasi yang jauh lebih banyak
  • Flock Safety dinilai bukan sekadar membocorkan sebuah kunci, melainkan mengekspos pusat operasi sistem pengawasan Amerika Serikat

Bacaan terkait

1 komentar

 
GN⁺ 2026-01-10
Komentar Hacker News

  • Saya tidak menyukai Flock, tetapi ada hal yang meragukan dalam klaim artikel ini
    Sebagian besar tangkapan layar tampaknya bukan respons API yang sebenarnya, melainkan kode JavaScript sisi klien
    Di komunitas bug bounty, kebocoran kunci Google Maps API adalah contoh false positive yang umum; biasanya hanya untuk penagihan dan tidak memberi hak akses ke data
    Artikel itu juga tidak menunjukkan bukti bahwa ArcGIS berbeda

    • Keamanan peta pada dasarnya mustahil
      Peta harus dibagikan secara luas di bidang pemerintahan maupun rekayasa, dan dengan sedikit pencarian, cara mengakses layer berbayar pun mudah ditemukan
      Alasan kunci tidak dimatikan setelah proyek selesai adalah karena semua tautan lama akan rusak dan mengganggu riset maupun perencanaan
      Mahasiswa pun bisa mengakses beragam data peta melalui kerja sama kampus, dan pada akhirnya data itu menjadi praktis terbuka untuk publik
      Di abad ke-21, menjaga privasi hampir mustahil

  • Masalah Flock bukan tingkat keamanannya, melainkan keberadaan mereka sendiri
    Melacak lokasi seseorang secara terus-menerus bukanlah pengawasan yang masuk akal, melainkan penggeledahan yang tidak wajar

    • Jika seseorang mengikuti saya 24 jam sehari, memotret saya, dan mencatat rute perjalanan saya, itu jelas stalking
      Yang dilakukan Flock pada dasarnya tidak berbeda, hanya saja lebih tidak mencolok
    • Melihat berbagai kasus selama beberapa dekade terakhir, rasanya memang perlu ada hak privasi pada tingkat konstitusi yang dinyatakan secara eksplisit

  • Feed kamera publik adalah aset publik, jadi seharusnya dibuka untuk umum

    • Terutama jika kamera itu dioperasikan oleh lembaga yang mengatasnamakan layanan publik
      Namun, ada juga kekhawatiran bahwa keterbukaan semacam ini justru akan berujung pada crowdsourcing negara pengawas
    • Sistem seperti ini juga menjadi fondasi yang mempermudah pembuatan aplikasi stalking

  • Di dunia yang masuk akal, kejadian seperti ini seharusnya berakhir dengan perusahaan bangkrut dan para eksekutif dipenjara

  • Membagikan video eksperimen teknik adversarial untuk mengacaukan pembaca pelat nomor
    Namun, ini tidak legal di semua wilayah, jadi pastikan memeriksa hukumnya
    Tautan YouTube

  • Penasaran apakah ada yang berhasil membuat kamera Flock dicabut di kotanya
    Di daerah kami, sistem itu dipasang sekitar satu setengah tahun lalu, dan kota-kota sekitar juga hampir bersamaan mengadopsinya

    • Saya adalah salah satu penggerak komunitas yang berhasil membatalkan kontrak Flock di Eugene dan Springfield, Oregon
      Saat ini saya bekerja sama dengan kota-kota di dekat Portland dan kelompok kerja legislatif negara bagian untuk mendorong rancangan undang-undang terkait
      Cara Flock mempengaruhi departemen kepolisian sungguh mengejutkan
      Misalnya, ada perusahaan bernama Lexipol yang menjual dokumen kebijakan kepolisian sambil juga mengoperasikan platform bernama Police1
      Police1 membantu polisi mencari hibah untuk berlangganan Flock, dan Flock sangat aktif muncul di sana
      Pada akhirnya polisi membeli kebijakan dari Lexipol, dan kebijakan itu sangat menguntungkan Flock
      Flock berulang kali menyuntikkan materi promosi yang sama kepada polisi dan pejabat kota
      Flock Safety, lulusan Y Combinator, membuat klaim yang sangat menyesatkan tentang produk dan bisnisnya
    • Di Redmond, negara bagian Washington, juga ada kasus berhasil menonaktifkan Flock
      Artikel terkait
    • Di Sedona, Arizona; Bend, Oregon; Hays County, Texas; dan Lockhart juga ada kasus penghentian atau penolakan kontrak
      Kasus Sedona, Artikel Bend, Artikel Hays County, Artikel Lockhart
      Kami juga sedang berkampanye di kota kami, dan opini publik berubah seiring makin dikenalnya nama Flock
      Datang langsung ke rapat dewan kota dan berbicara itu penting
    • Di Flagstaff, Arizona, kontrak Flock juga dibatalkan
      Tautan artikel
    • Berbagai kota di Oregon dan Washington memutuskan untuk tidak memperbarui kontrak Flock
      Artikel terkait

  • Ini tampaknya akibat dari ketidakmampuan semata
    Saat kontroversi penerapan ShotSpotter juga, CIO kota dan auditor dikesampingkan, dan anggota dewan harus dibujuk satu per satu agar ada verifikasi teknis
    Semoga hal seperti ini tidak terus terulang

    • Namun ini bukan ketidakmampuan, melainkan masalah ketidakpedulian
      Jika memang ada kemauan untuk memperbaikinya, seharusnya sudah dibereskan sejak lama

  • Saya pernah menemukan dan melaporkan kunci yang mengekspos data sensitif di lembaga publik yang dipakai jutaan orang
    Sekarang saya paham mengapa celah seperti ini dibiarkan berbulan-bulan, bahkan bertahun-tahun
    Penyebabnya adalah burnout dan ketidaktahuan, serta budaya yang menganggap lebih baik menyembunyikan masalah daripada mengakuinya

  • Di Inggris ada ‘Blade Runners’ yang mencopot CCTV; saya penasaran mengapa di AS tidak ada respons seagresif itu

    • Kekuatan anti-pengawasan di AS lemah, sementara pihak yang lebih agresif justru adalah mereka yang ingin membangun rezim pengawasan
    • Di kota saya, beberapa kamera Flock menjadi nonaktif karena panel surya atau lensanya rusak, tetapi sesuai kontrak biaya perbaikan ditanggung kota
    • Risiko hukuman hukum besar, dan biaya pengacara mahal, jadi sulit untuk benar-benar bertindak
      Selain itu juga ada risiko berhadapan dengan polisi yang keras
    • Jika membuka situs Flock, Anda juga bisa melihat penjelasan tentang fitur drone
    • Kita makin tersiksa oleh bentuk baru politik ketakutan (gestapo)
      Kita menyebut diri sebagai ‘pembela kebebasan’, tetapi kenyataannya hampir tidak mampu melakukan perlawanan