США: викрадені поліцейські логіни розкривають записи камери спостереження Flock для хакерів

Законодавці закликали Федеральну торгову комісію розслідувати діяльність Flock Safety, компанії, яка експлуатує камери сканування номерних знаків, за нібито невпровадження засобів кіберзахисту, що наражає її мережу камер на ризик хакерів та шпигунів.

У листі, надісланому сенатором Роном Вайденом (демократ від штату Орегон) та представником Раджею Крішнамурті (демократ від штату Іллінойс, 8-й округ), законодавці закликають голову Федеральної торгової комісії Ендрю Фергюсона розслідувати, чому Flock не забезпечить використання багатофакторної автентифікації (MFA) – захисту, який запобігає зловмисному доступу особи, яка знає пароль власника облікового запису.

Вайден і Крішнамурті заявили, що хоча компанія пропонує своїм клієнтам з правоохоронних органів можливість увімкнути багатофакторну автентифікацію (MFA), «Flock цього не вимагає, що компанія підтвердила Конгресу в жовтні», йдеться в листі.

Вайден і Крішнамурті заявили, що якщо хакери або іноземні шпигуни дізнаються пароль користувача з правоохоронних органів, «вони можуть отримати доступ до розділів веб-сайту Flock, призначених лише для правоохоронних органів, і переглядати мільярди фотографій номерних знаків американців, зібраних камерами, що фінансуються платниками податків, по всій країні».

Flock керує однією з найбільших мереж камер та зчитувачів номерних знаків у США, надаючи доступ до понад 5000 поліційних управлінь, а також приватних підприємств по всій країні. Камери Flock сканують номерні знаки транспортних засобів, що проїжджають повз, щоб поліція та федеральні агентства, які мають увійшли до платформи Flock, могли шукати серед мільярдів зроблених фотографій та відстежувати, де переміщалися транспортні засоби в будь-який момент часу.

Законодавці заявили, що знайшли докази того, що деякі логіни клієнтів Flock з числа правоохоронних органів раніше були викрадені та поширені в Інтернеті, посилаючись на дані Hudson Rock, компанії з кібербезпеки, яка ідентифікує імена користувачів та паролі, викрадені шкідливим програмним забезпеченням для крадіжки інформації . 

Незалежний дослідник безпеки Бенн Джордан також надав законодавцям скріншот, на якому видно російський форум з кіберзлочинності, який нібито продає доступ до логінів Flock.

Коли TechCrunch звернувся за коментарем, Флок поділився відповіддю компанії в листі від її головного юрисконсульта Дена Хейлі, в якому він зазначає, що компанія ввімкнула багатофакторну автентифікацію (MFA) за замовчуванням для всіх нових клієнтів, починаючи з листопада 2024 року, і що 97% її клієнтів з правоохоронних органів на сьогодні увімкнули MFA.

Таким чином, близько 3% клієнтів компанії — потенційно десятки правоохоронних органів — відмовилися використовувати багатосторонню автентифікацію, посилаючись на «причини, що стосуються саме їх», — написала Гейлі. 

Холлі Бейлін, речниця Flock, не одразу назвала точну кількість клієнтів з числа правоохоронних органів, які ще не підключилися до багатофакторної автентифікації, а також не повідомила, чи є серед інших клієнтів федеральні агентства, або з якої причини Flock не вимагає від своїх клієнтів вмикати цю функцію безпеки.

Як раніше повідомляло видання 404 Media, Управління з боротьби з наркотиками США використало пароль місцевого поліцейського для доступу до камер Flock з метою пошуку особи, підозрюваної у «порушенні імміграційного законодавства», але без відома поліцейського. Поліцейське управління Палос-Хайтс заявило, що після порушення увімкнуло багатофакторну автентифікацію.