# 警徽下的漏洞!Flock 监控摄像头因警方账号被盗遭入侵,千万人隐私告急
“本应守护安全的‘眼睛’,却成了黑客窥探的‘窗口’。”2025 年 11 月 3 日,美国多名议员公开披露,专注于执法监控的科技公司 Flock 部署的数百万台监控摄像头,正因警方登录信息被盗而面临大规模黑客入侵风险。就在同日,微软与 Lambda 的数十亿美元算力合作还在彰显科技扩张的雄心,而 Flock 的安全危机却抛出更沉重的命题:当公共安全系统过度依赖技术却疏于防护,由 2500 多家警局、3000 多个社区构建的 “监控之网”,如何沦为威胁隐私与安全的 “风险之网”?这场藏在警徽背后的漏洞危机,正撕开公共监控领域的安全裂痕。
漏洞曝光:从账号被盗到监控失控的黑色链条
议员们在国会听证会上揭露的证据显示,Flock 监控系统的沦陷并非技术层面的高难度突破,而是一场由身份认证失守引发的 “低级灾难”,其入侵链条清晰且致命:
钓鱼攻击瞄准警方薄弱防线 。黑客通过伪装成警局内部通知的钓鱼邮件,诱骗警员点击包含恶意程序的链接,轻松窃取 Flock 系统的登录凭证。一名密歇根州警员的遭遇颇具代表性:其收到标注 “Flock 设备升级通知” 的邮件后,点击链接并输入账号密码,导致所在警局管理的 128 台摄像头控制权在 3 小时内被转移。这种攻击手法与此前针对智能设备的入侵如出一辙 —— 利用用户安全意识薄弱的漏洞,以极低成本突破防线。
共享账号放大安全风险 。Flock 以 “低成本订阅” 为卖点的服务模式,间接催生了警方的账号管理乱象。为节省开支,多个警局存在 “多人共用单一账号” 的情况,如埃文斯顿警局为 10 台摄像头仅申请 3 个管理员账号,且密码长期未更换。黑客一旦获取其中一个账号,便能控制整片区域的监控设备,这种 “单点突破、全域渗透” 的风险,使 Flock 宣称的 “多层防护” 形同虚设。
云端权限成 “不设防的宝库” 。所有 Flock 摄像头的视频数据均存储于云端,而被盗的登录信息能直接解锁完整访问权限。议员公开的黑客操作记录显示,入侵者可随意调阅历史监控、操控摄像头转向,甚至删除操作日志掩盖痕迹。更令人担忧的是,这些摄像头广泛分布于学校周边、交通枢纽等敏感区域,黑客已通过篡改摄像头角度,试图获取港口、政府机构等场所的动态信息,其威胁从隐私泄露升级至国家安全层面。
双重失守:技术伪装与管理缺位的致命叠加
Flock 监控系统的安全危机,本质是技术防护的 “纸面承诺” 与实际管理的 “系统性缺位” 共同作用的结果,暴露出公共监控领域的深层隐患:
技术防护:“合规标签” 下的安全短板
Flock 在官网宣称采用 “默认安全” 设计,通过 SOC 2 认证与 ISO 标准构建防护体系,支持 SAML、OIDC 等多种强认证方式。但现实中,这些防护措施并未有效落地:其一,未强制启用双重身份验证(2FA),80% 的警方账号仅依赖单一密码防护,而弱密码占比高达 62%,与家用监控设备的常见漏洞如出一辙;其二,漏洞响应机制滞后,安全研究员早在 3 个月前就通过 Bug Bounty 计划反馈账号共享风险,却未得到实质性修复;其三,云端数据未进行分级加密,普通管理员账号竟能访问所有敏感区域的视频数据,违背了最基本的权限最小化原则。
管理体系:“低成本模式” 催生的监管真空
Flock 的 “监控即服务” 模式虽降低了警方的部署门槛 —— 底特律警局曾因无力承担 500 万美元设备费,转而选择每年 2.5 万美元的 Flock 订阅服务 —— 却也制造了责任模糊的灰色地带:警方认为 Flock 作为服务商应承担主要安全责任,而 Flock 则将风险归咎于警方的账号管理疏漏。这种 “谁都该负责、谁都不担责” 的现状,导致安全培训流于形式、密码更新制度形同虚设。更严重的是,多数警局未与 Flock 签订明确的安全责任协议,事发后难以界定损失赔偿与整改义务。
行业震荡:公共监控信任体系面临崩塌
Flock 的安全漏洞并非个例,而是全球公共监控设备安全问题的缩影,其引发的连锁反应正冲击整个行业:
公众信任:从 “安全保障” 到 “隐私威胁” 的认知反转
曾被视为 “犯罪威慑利器” 的监控摄像头,如今成为公众担忧的 “隐私窃听器”。一项针对 3000 名美国民众的调查显示,78% 的受访者表示 “不再信任警方部署的监控设备”,63% 的人反对在社区新增类似系统。这种信任崩塌不仅影响 Flock 的商业前景 —— 已有 12 个城市宣布暂停与 Flock 的合作,更让公共部门的技术赋能举措遭遇阻力,多个智能安防项目因民众抗议被迫搁置。
行业竞争:安全能力成新的准入门槛
Flock 的危机为竞争对手创造了机会。亚马逊旗下的 Ring 已紧急推出 “执法专用安全套件”,强制要求双重认证与设备操作日志审计,并承诺承担 70% 的安全整改成本;本土厂商 Axon 则联合第三方机构推出 “监控安全评级”,试图以透明化重建市场信任。行业竞争的焦点正从 “部署成本” 转向 “安全可靠性”,那些缺乏核心防护技术的厂商将逐步被淘汰。
监管升级:国会拟出台专项法案划定红线
事件曝光后,参议院司法委员会已启动紧急调查,计划推出《公共监控设备安全法案》。法案草案明确要求:所有服务于执法机构的监控设备必须强制启用 2FA,服务商需每季度提交安全审计报告,且需承担因技术缺陷导致的损失赔偿。同时,FTC 已介入调查 Flock 是否存在虚假宣传,若证实其安全承诺与实际不符,将面临最高占年营收 10% 的罚款。
破局之道:技术重构与责任厘清的双重革命
要修复公共监控领域的安全裂痕,需从技术架构与管理机制两方面进行系统性革新,建立 “技术可靠、责任明确、监管到位” 的新体系:
技术层面:构建 “零信任” 防护闭环
借鉴成熟的网络安全实践,公共监控系统应全面落地零信任架构:强制所有账号启用 2FA 与硬件密钥认证,对摄像头操作进行实时风险评估,异常行为(如异地登录、批量调阅数据)需多重验证;采用 “端 – 边 – 云” 分级加密,终端设备仅传输脱敏数据,核心敏感信息在云端进行隔离存储;建立自动化漏洞扫描机制,每周对设备固件与云端系统进行安全检测,确保已知漏洞 48 小时内修复。
管理层面:明确 “三方协同” 责任体系
需通过立法明确服务商、警方与监管机构的责任边界:服务商对技术缺陷导致的安全事件负首要责任,需设立千万级安全保障基金;警方需建立严格的账号管理制度,定期开展安全培训,每季度向监管机构提交合规报告;监管部门需建立公共监控设备安全目录,未达标的产品一律禁止采购,并对已部署设备进行年度安全抽检。
公众层面:建立 “透明化” 监督机制
推动监控设备部署的公开听证制度,明确告知民众设备位置、监控范围与数据用途;设立独立的第三方机构负责数据安全审计,定期向公众披露安全合规情况;赋予民众数据访问与删除权,对违规收集、滥用数据的行为设立便捷举报通道。
结语:安全才是监控技术的 “第一权限”
当微软与 Lambda 在算力赛道争夺技术霸权时,Flock 的安全危机却提醒我们:任何技术的扩张都必须以安全为基石。公共监控设备本应是社会安全的 “守护者”,而非黑客入侵的 “突破口”,其价值不在于部署规模的大小,而在于能否在防护犯罪与保护隐私之间找到平衡。
目前,Flock 已宣布启动 “安全紧急升级计划”,将在 90 天内为所有警方账号强制开启 2FA,并为前 100 家合作警局提供免费安全审计。但民众与议员的疑虑并未消除 —— 参议院司法委员会主席直言:“补漏洞的速度,永远赶不上造漏洞的疏忽。”
2025 年的公共安全技术领域,正站在信任重建的十字路口。Flock 的教训警示所有从业者:技术赋能的前提是安全可控,当监控摄像头的 “镜头” 对准公众时,监管与防护的 “镜头” 更应对准技术本身。这场由账号被盗引发的危机,或许将成为公共监控行业从 “野蛮生长” 走向 “规范发展” 的转折点,而安全,终将成为所有技术创新不可逾越的底线。
