Οι νομοθέτες ζήτησαν από την Ομοσπονδιακή Επιτροπή Εμπορίου να διερευνήσει τη Flock Safety, μια εταιρεία που λειτουργεί κάμερες σάρωσης πινακίδων κυκλοφορίας, για φερόμενη αποτυχία να εφαρμόσει προστασία κυβερνοασφάλειας που εκθέτει το δίκτυο καμερών της σε χάκερ και κατασκόπους.
Σε ένα γράμμα που εστάλη από τον γερουσιαστή Ron Wyden (D-OR) και τον εκπρόσωπο Raja Krishnamoorthi (D-IL, 8η), οι νομοθέτες προτρέπουν τον Πρόεδρο της FTC Andrew Ferguson να διερευνήσει γιατί η Flock δεν επιβάλλει τη χρήση ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA), μια προστασία ασφαλείας που αποτρέπει την κακόβουλη πρόσβαση από κάποιον που γνωρίζει τον κωδικό πρόσβασης του λογαριασμού.
Ο Wyden και ο Krishnamoorthi είπαν ότι ενώ η εταιρεία προσφέρει στους πελάτες της επιβολής του νόμου τη δυνατότητα να ενεργοποιήσουν το MFA, «το Flock δεν το απαιτεί, κάτι που η εταιρεία επιβεβαίωσε στο Κογκρέσο τον Οκτώβριο», σύμφωνα με την επιστολή.
Οι Wyden και Krishnamoorthi είπαν ότι εάν οι χάκερ ή οι ξένοι κατάσκοποι μάθουν τον κωδικό πρόσβασης ενός χρήστη των αρχών επιβολής του νόμου, «μπορούν να αποκτήσουν πρόσβαση σε περιοχές του ιστότοπου του Flock μόνο για την επιβολή του νόμου και να αναζητήσουν δισεκατομμύρια φωτογραφίες πινακίδων κυκλοφορίας Αμερικανών που συλλέγονται από κάμερες που χρηματοδοτούνται από τους φορολογούμενους σε όλη τη χώρα».
Η Flock λειτουργεί ένα από τα μεγαλύτερα δίκτυα καμερών και συσκευών ανάγνωσης πινακίδων κυκλοφορίας στις ΗΠΑ, παρέχοντας πρόσβαση σε περισσότερα από 5.000 αστυνομικά τμήματα, καθώς και ιδιωτικές επιχειρήσεις, σε όλη τη χώρα. Οι κάμερες του Flock σαρώνουν τις πινακίδες κυκλοφορίας των διερχόμενων οχημάτων, έτσι ώστε η αστυνομία και οι ομοσπονδιακές υπηρεσίες με login στην πλατφόρμα του Flock να μπορούν να αναζητήσουν τις δισεκατομμύρια φωτογραφίες που τραβήχτηκαν και να παρακολουθήσουν πού έχουν ταξιδέψει τα οχήματα ανά πάσα στιγμή.
Οι νομοθέτες είπαν ότι βρήκαν στοιχεία που αποδεικνύουν ότι ορισμένα στοιχεία σύνδεσης πελατών της Flock είχαν κλαπεί και κοινοποιηθεί στο παρελθόν, επικαλούμενοι δεδομένα από τη Hudson Rock, μια εταιρεία κυβερνοασφάλειας που εντοπίζει ονόματα χρηστών και κωδικούς πρόσβασης που έχουν κλαπεί από κακόβουλο λογισμικό κλοπής πληροφοριών.
Ο ανεξάρτητος ερευνητής ασφάλειας Μπεν Τζόρνταν παρείχε επίσης στους νομοθέτες ένα στιγμιότυπο οθόνης που δείχνει ένα ρωσικό φόρουμ για το έγκλημα στον κυβερνοχώρο που φέρεται να πωλεί πρόσβαση σε στοιχεία σύνδεσης Flock.
Όταν έφτασε στο TechCrunch για σχόλια, ο Flock μοιράστηκε την απάντηση της εταιρείας σε μια επιστολή από τον επικεφαλής νομικό διευθυντή της Dan Haley, στην οποία λέει ότι η εταιρεία ενεργοποίησε το MFA από προεπιλογή για όλους τους νέους πελάτες από τον Νοέμβριο του 2024 και ότι το 97% των πελατών επιβολής του νόμου έχουν ενεργοποιήσει το MFA μέχρι σήμερα.
Αυτό αφήνει περίπου το 3% των πελατών της εταιρείας – πιθανώς δεκάδες υπηρεσίες επιβολής του νόμου – που αρνήθηκαν να ενεργοποιήσουν το MFA, επικαλούμενοι “λόγους ειδικά για αυτούς”, έγραψε η Haley.
Η Holly Beilin, εκπρόσωπος της Flock, δεν παρείχε αμέσως συγκεκριμένο αριθμό πελατών των υπηρεσιών επιβολής του νόμου που δεν έχουν ακόμη ενεργοποιήσει το MFA, εάν υπάρχουν ομοσπονδιακές υπηρεσίες μεταξύ των εναπομεινάντων πελατών ή για ποιον λόγο η Flock δεν απαιτεί από τους πελάτες της να ενεργοποιήσουν τη λειτουργία ασφαλείας.
404 Μέσα είχε αναφερθεί προηγουμένως ότι η Αμερικανική Υπηρεσία Δίωξης Ναρκωτικών χρησιμοποίησε τον κωδικό πρόσβασης ενός τοπικού αστυνομικού για να αποκτήσει πρόσβαση στις κάμερες του Flock για να αναζητήσει ένα άτομο που είναι ύποπτο για «παραβίαση μετανάστευσης», αλλά εν αγνοία του αξιωματικού. Το αστυνομικό τμήμα Palos Heights είπε ότι ενεργοποίησε τον έλεγχο ταυτότητας πολλαπλών παραγόντων μετά την παραβίαση.
Via: techcrunch.com
