Os legisladores pediram à Comissão Federal de Comércio que investigasse a Flock Safety, a empresa que opera as câmeras de varredura de placas de veículos, por supostamente não ter implementado proteções de segurança cibernética que expuseram sua rede de câmeras a hackers e espiões.
em carta Em um e-mail enviado pelo senador Ron Wyden (D-OR) e pelo deputado Raja Krishnamoorthi (D-IL, 8º), os legisladores instaram o presidente da FTC, Andrew Ferguson, a investigar por que Flock não está aplicando o uso de autenticação multifator (MFA), uma salvaguarda de segurança que impede o acesso malicioso de qualquer pessoa que conheça a senha do titular da conta.
Wyden e Krishnamoorthi disseram que, embora a empresa ofereça aos clientes responsáveis pela aplicação da lei a capacidade de habilitar o MFA, “a Flock não exige isso, e a empresa confirmou isso ao Congresso em outubro”.
Wyden e Krishnamoorthi disseram que se hackers ou espiões estrangeiros descobrissem as senhas dos usuários das autoridades, eles “poderiam obter acesso a áreas exclusivas do site Flock e pesquisar bilhões de fotos de placas de veículos americanas coletadas por câmeras financiadas pelos contribuintes em todo o país”.
A Flock opera uma das maiores redes de câmeras e leitores de placas de veículos dos Estados Unidos, fornecendo acesso a mais de 5.000 departamentos de polícia e empresas privadas em todo o país. As câmeras do Flock escaneiam as placas dos veículos que passam, permitindo que a polícia e agências federais conectadas à plataforma do Flock pesquisem bilhões de fotos capturadas e rastreiem para onde os veículos se moveram a qualquer momento.
Citando dados da Hudson Rock, uma empresa de segurança cibernética que identifica nomes de usuário e senhas roubados por malware que rouba informações, os legisladores disseram ter encontrado evidências de que alguns dos logins dos clientes da Flock já haviam sido roubados e compartilhados online.
O pesquisador de segurança independente Benn Jordan também forneceu aos legisladores capturas de tela mostrando um fórum russo de crimes cibernéticos supostamente vendendo acesso a logins do Flock.
Quando o TechCrunch entrou em contato para comentar, Flock compartilhou a resposta da empresa em uma carta do diretor jurídico Dan Haley. Nele, ele disse que a empresa habilitou a MFA por padrão para todos os novos clientes a partir de novembro de 2024 e que, até o momento, 97% de seus clientes responsáveis pela aplicação da lei têm a MFA habilitada.
Isso fez com que cerca de 3% dos clientes da empresa – potencialmente dezenas de agências de aplicação da lei – se recusassem a mudar para o MFA por “motivos específicos para eles”, escreveu Haley.
Holly Beilin, porta-voz da Flock, não forneceu imediatamente um número específico de clientes policiais que ainda não mudaram de MFA, não disse se algum dos clientes restantes são agências federais ou por que razão a Flock não está exigindo que seus clientes mudem o recurso de segurança.
como relatado anteriormente De acordo com a 404 Media, a Administração Antidrogas dos EUA usou a senha de um policial local para acessar as câmeras do Flock para procurar indivíduos suspeitos de “violações de imigração”, mas os policiais não tinham conhecimento deles. O Departamento de Polícia de Palos Heights disse que ativou a autenticação multifator após a violação.
