Legisladores dizem que logins policiais roubados estão revelando câmeras de vigilância para hackers
Os legisladores apelaram à Comissão Federal de Comércio para investigar a Flock Safety, uma empresa que opera câmaras de leitura de matrículas, por alegadamente não ter implementado salvaguardas de segurança cibernética que expuseram a sua rede de câmaras a hackers e espiões.
Em uma carta O senador liderado por Ron Wyden (D-OR) e o deputado Raja Krishnamurthy (D-IL, 8º), os legisladores instaram o presidente da FTC, Andrew Ferguson, a investigar por que Flock usa autenticação multifator (MFA), uma proteção de segurança que impede o acesso malicioso de alguém com conhecimento da senha do titular da conta.
Embora Wyden e Krishnamurthy tenham dito que a empresa oferece a seus clientes responsáveis pela aplicação da lei a capacidade de habilitar o MFA, “a Flock não exige isso, o que a empresa confirmou ao Congresso em outubro”, de acordo com a carta.
Wyden e Krishnamurthy disseram que se hackers ou espiões estrangeiros soubessem as senhas dos usuários responsáveis pela aplicação da lei, “eles poderiam obter acesso a áreas exclusivas para aplicação da lei no site de Flock e pesquisar bilhões de fotos de placas de carros de americanos coletadas por câmeras financiadas pelos contribuintes em todo o país”.
A Flock opera uma das maiores redes de câmeras e leitores de placas de veículos nos Estados Unidos, fornecendo acesso a mais de 5.000 departamentos de polícia em todo o país, bem como a empresas privadas. As câmeras do Flock escaneiam as placas dos veículos que passam para que a polícia e as agências federais com login na plataforma do Flock possam pesquisar bilhões de fotos capturadas e rastrear por onde os veículos viajaram em um determinado momento.
Os legisladores disseram ter encontrado evidências de que alguns dos logins dos clientes da Flock foram roubados e compartilhados online, citando dados da Hudson’s Rock, uma empresa de segurança cibernética que identifica nomes de usuário e senhas roubados por malware de roubo de dados.
O pesquisador de segurança independente Ben Jordan também forneceu aos legisladores uma captura de tela mostrando um fórum russo de crimes cibernéticos supostamente vendendo acesso a logins do Flock.
Contatado pelo TechCrunch para comentar, Flock compartilhou a resposta da empresa em uma carta de seu diretor jurídico, Dan Haley, na qual ele disse que a empresa habilitou a MFA por padrão para todos os novos clientes a partir de novembro de 2024 e que 97% de seus clientes responsáveis pela aplicação da lei habilitaram a MFA até o momento.
Isso deixa cerca de 3% dos clientes da empresa – potencialmente dezenas de agências de aplicação da lei – que se recusaram a recorrer ao MFA, citando “razões específicas para eles”, escreveu Haley.
Holly Beilein, porta-voz da Flock, não forneceu imediatamente um número específico de clientes policiais que ainda não ativaram o MFA, nem disse se alguma agência federal está entre os clientes restantes, ou por que os clientes da Flock não são obrigados a ativar o recurso de segurança.
como Como relatado anteriormente Pela 404 Media, a Administração Antidrogas dos EUA usou a senha de um policial local para acessar a câmera de Flock e procurar um suspeito de uma “violação de imigração”, mas sem o conhecimento do policial. O Departamento de Polícia de Palos Heights disse que introduziu a autenticação multifator após a violação.
