Законодатели требуют расследовать деятельность компании Flock Safety из-за проблем с кибербезопасностью
Законодатели обратились к Федеральной торговой комиссии с призывом расследовать деятельность компании Flock Safety, которая управляет камерами сканирования номерных знаков. По их мнению, компания не обеспечивает достаточный уровень кибербезопасности, что делает её сеть уязвимой для хакеров и шпионов.
В письме, отправленном сенатором Роном Уайденом (штат Орегон) и представителем Раджей Кришнамурти (штат Иллинойс), законодатели призывают председателя Федеральной торговой комиссии Эндрю Фергюсона выяснить, почему Flock не внедряет многофакторную аутентификацию (MFA) — меру безопасности, которая предотвращает несанкционированный доступ даже при знании пароля владельца аккаунта.
Уайден и Кришнамурти отмечают, что хотя компания предлагает своим клиентам из правоохранительных органов возможность включить MFA, она не требует этого. Компания подтвердила Конгрессу в октябре, что не обязывает клиентов использовать MFA.
Законодатели утверждают, что если хакеры или иностранные шпионы узнают пароль пользователя из правоохранительных органов, они смогут получить доступ к закрытым разделам сайта Flock и просмотреть миллиарды фотографий номерных знаков американцев, собранных камерами, финансируемыми налогоплательщиками, по всей стране.
Flock управляет одной из крупнейших сетей камер и считывателей номерных знаков в США, предоставляя доступ более чем 5 000 полицейским управлениям и частным компаниям по всей стране. Камеры Flock сканируют номерные знаки проезжающих автомобилей, позволяя полиции и федеральным агентствам с учётными записями на платформе Flock искать миллиарды захваченных фотографий и отслеживать перемещение транспортных средств.
Законодатели заявили, что у них есть доказательства того, что учётные данные некоторых клиентов Flock из правоохранительных органов были украдены и размещены в интернете. Они ссылаются на данные компании Hudson Rock, которая выявляет имена пользователей и пароли, украденные вредоносным ПО.
Независимый исследователь безопасности Бенн Джордан также предоставил законодателям скриншот, на котором виден российский форум киберпреступников, предположительно продающий доступ к учётным записям Flock.
В ответ на запрос TechCrunch компания Flock сообщила, что с ноября 2024 года MFA включена по умолчанию для всех новых клиентов, и на сегодняшний день 97 % её клиентов из правоохранительных органов включили MFA.
Однако около 3 % клиентов компании — потенциально десятки правоохранительных органов — отказались включить MFA по причинам, специфичным для них, как написал главный юридический советник компании Дэн Хейли.
Холли Бейлин, представитель Flock, не предоставила точного числа клиентов из правоохранительных органов, которые ещё не включили MFA, и не сообщила, входят ли в их число федеральные агентства.
Ранее 404 Media сообщала, что Управление по борьбе с наркотиками США использовало пароль местного полицейского для доступа к камерам Flock в поисках человека, подозреваемого в нарушении иммиграционного законодательства, без ведома офицера. Полицейское управление Палос-Хайтс заявило, что включило многофакторную аутентификацию после этого инцидента.