Milletvekilleri, çalınan polis oturum açma bilgilerinin Flock gözetleme kameralarını bilgisayar korsanlarının eline geçirdiğini söylüyor

Yasa koyucular, plaka tarama kameraları işleten Flock Safety adlı şirketin, kamera ağını bilgisayar korsanlarına ve casuslara açık hale getiren siber güvenlik önlemlerini uygulamadığı iddiasıyla Federal Ticaret Komisyonu'ndan soruşturma talep etti.

Senatör Ron Wyden (D-OR) ve Temsilci Raja Krishnamoorthi (D-IL, 8.) tarafından gönderilen bir mektupta , milletvekilleri FTC Başkanı Andrew Ferguson'dan, Flock'un hesap sahibinin şifresini bilen birinin kötü niyetli erişimini engelleyen bir güvenlik koruması olan çok faktörlü kimlik doğrulamanın (MFA) kullanımını neden zorunlu kılmadığını araştırmasını talep ediyor.

Mektupta Wyden ve Krishnamoorthi, şirketin kolluk kuvvetlerindeki müşterilerine MFA'yı etkinleştirme olanağı sunarken, "Flock'un bunu talep etmediğini ve şirketin bunu Ekim ayında Kongre'ye doğruladığını" söyledi.

Wyden ve Krishnamoorthi, bilgisayar korsanlarının veya yabancı casusların bir kolluk kuvveti kullanıcısının şifresini öğrenmeleri halinde, "Flock'un web sitesinde yalnızca kolluk kuvvetlerinin erişimine açık alanlara erişebileceklerini ve ülke genelinde vergi mükelleflerinin finanse ettiği kameralar tarafından toplanan milyarlarca Amerikalı'nın plaka fotoğrafında arama yapabileceklerini" söyledi.

Flock, ABD'deki en büyük kamera ve plaka okuyucu ağlarından birini işletiyor ve ülke genelinde 5.000'den fazla polis departmanının yanı sıra özel işletmelere de erişim sağlıyor. Flock'un kameraları, geçen araçların plakalarını tarayarak, Flock platformuna giriş yapan polis ve federal kurumların çekilen milyarlarca fotoğrafı tarayıp araçların herhangi bir anda nereye gittiğini takip edebilmesini sağlıyor.

Milletvekilleri, Flock'un kolluk kuvvetlerindeki bazı müşterilerinin oturum açma bilgilerinin daha önce çalındığına ve çevrimiçi olarak paylaşıldığına dair kanıt bulduklarını, bunun için de bilgi çalan kötü amaçlı yazılımlar tarafından çalınan kullanıcı adları ve parolaları tespit eden bir siber güvenlik şirketi olan Hudson Rock'tan alınan verilere atıfta bulundu.

Bağımsız güvenlik araştırmacısı Benn Jordan da milletvekillerine, Rus bir siber suç forumunun Flock oturum açma bilgilerine erişim sattığı iddialarını gösteren bir ekran görüntüsü sundu.

TechCrunch'ın yorum için ulaştığı Flock, şirketin baş hukuk sorumlusu Dan Haley'den gelen bir mektupta şirketin yanıtını paylaştı. Haley, şirketin Kasım 2024'ten itibaren tüm yeni müşteriler için varsayılan olarak MFA'yı etkinleştirdiğini ve kolluk kuvvetlerindeki müşterilerinin %97'sinin bugüne kadar MFA'yı etkinleştirdiğini söylüyor.

Haley, bunun şirketin müşterilerinin yaklaşık %3'ü kadarının (potansiyel olarak düzinelerce kolluk kuvveti) "kendilerine özgü sebepler" ileri sürerek MFA'yı açmayı reddettiğini yazdı.

Flock sözcüsü Holly Beilin, henüz MFA'yı etkinleştirmemiş kolluk kuvvetleri müşterilerinin sayısını belirtmedi, kalan müşteriler arasında herhangi bir federal kurum olup olmadığını veya Flock'un müşterilerinin güvenlik özelliğini etkinleştirmelerini neden istemediğini söylemedi.

404 Media daha önce, ABD Uyuşturucuyla Mücadele Dairesi'nin (NASA), Flock'un kameralarına yerel bir polis memurunun şifresini kullanarak eriştiğini ve "göçmenlik ihlali" şüphesi olan bir kişiyi aradığını, ancak bunu memurun bilgisi olmadan yaptığını bildirmişti . Palos Heights Polis Departmanı, ihlalin ardından çok faktörlü kimlik doğrulamayı etkinleştirdiğini açıkladı.