Законодатели призвали Федеральную торговую комиссию расследовать компанию Flock Safety, которая управляет камерами для сканирования номерных знаков, за якобы невыполнение мер кибербезопасности, которые оставляют сеть камер уязвимой для хакеров и шпионов.
В письме, отправленном сенатором Роном Уайденом (демократ от штата Орегон) и конгрессменом Раджей Кришнамурти (демократ от 8-го округа Иллинойса), законодатели призывают председателя FTC Эндрю Фергюсона выяснить, почему Flock не требует использования многофакторной аутентификации (MFA) — меры безопасности, предотвращающей несанкционированный доступ при знании пароля владельца аккаунта.
Уайден и Кришнамурти заявили, что хотя компания предоставляет своим клиентам из правоохранительных органов возможность включить MFA, «Flock не требует этого, что компания подтвердила Конгрессу в октябре», как указано в письме.
Законодатели отметили, что если хакеры или иностранные шпионы узнают пароль пользователя из правоохранительных органов, «они смогут получить доступ к разделам сайта Flock, доступным только правоохранительным органам, и искать миллиарды фотографий номерных знаков американцев, собранных камерами, финансируемыми за счёт налогоплательщиков по всей стране».
Flock управляет одной из крупнейших сетей камер и считывателей номерных знаков в США, предоставляя доступ более чем 5000 полицейским департаментам, а также частным компаниям по всей стране. Камеры Flock сканируют номера проезжающих автомобилей, чтобы полиция и федеральные агентства с логином на платформе Flock могли искать миллиарды сохранённых фото и отслеживать, где находились транспортные средства в определённое время.
Законодатели заявили, что нашли доказательства того, что логины некоторых клиентов Flock из правоохранительных органов ранее были украдены и опубликованы в сети, ссылаясь на данные компании по кибербезопасности Hudson Rock, которая выявляет украденные с помощью вредоносного ПО имена пользователей и пароли.
Независимый исследователь безопасности Бенн Джордан также предоставил законодателям скриншот, на котором якобы российский киберпреступный форум продаёт доступ к логинам Flock.
Получив запрос на комментарий от TechCrunch, Flock предоставила ответ компании в письме от главного юрисконсульта Дэна Хейли, в котором говорится, что компания включила MFA по умолчанию для всех новых клиентов начиная с ноября 2024 года и что на сегодняшний день 97 % клиентов из правоохранительных органов включили MFA.
Это оставляет около 3 % клиентов компании — потенциально десятки правоохранительных органов, — которые отказались включать MFA по «причинам, специфичным для них», написал Хейли.
Представитель Flock Холли Бейлин не сразу предоставила точное число правоохранительных клиентов, которые ещё не включили MFA, не сообщила, входят ли в их число федеральные агентства, и не объяснила, по какой причине Flock не требует от клиентов включения этой функции безопасности.
Как ранее сообщало 404 Media, Управление по борьбе с наркотиками США использовало пароль местного полицейского для доступа к камерам Flock и поиска лица, подозреваемого в «нарушении иммиграционного законодательства», но без ведома офицера. Полицейский департамент Палос-Хайтс заявил, что включил многофакторную аутентификацию после инцидента.
Оригинал
Уникальность
