Камеры слежения Flock: Угрозы взлома и призывы к расследованию

Законодатели обратились к Федеральной торговой комиссии (FTC) с требованием провести расследование в отношении компании Flock Safety. Эта компания управляет сетью камер, сканирующих номерные знаки автомобилей, и, по мнению представителей власти, не уделяет должного внимания мерам кибербезопасности. Существует риск, что это может поставить под угрозу сеть камер, сделав ее уязвимой для хакеров и шпионов.

В своем письме сенатор Рон Уайден и представитель Раджа Кришнаморти призвали председателя FTC Эндрю Фергюсона выяснить, почему Flock Safety не требует использования многофакторной аутентификации (MFA). Этот метод защиты предотвращает несанкционированный доступ к учетным записям, даже если пароль известен посторонним.

Уайден и Кришнаморти отметили, что, хотя компания предоставляет своим клиентам из правоохранительных органов возможность активировать MFA, "Flock не обязывает к ее использованию, что было подтверждено компанией в октябре", согласно тексту письма. Если злоумышленники или иностранные шпионы узнают пароль пользователя из правоохранительных органов, "они могут получить доступ к закрытым разделам веб-сайта Flock и просматривать миллиарды фотографий номерных знаков американцев, собранных на средства налогоплательщиков", — заявили законодатели.

Flock Safety управляет одной из крупнейших сетей камер и сканеров номерных знаков в США, предоставляя доступ более чем 5000 полицейским управлениям, а также частным предприятиям по всей стране. Камеры Flock сканируют номерные знаки проезжающих автомобилей, позволяя полиции и федеральным агентствам с доступом к платформе Flock искать среди миллиардов собранных фотографий и отслеживать передвижение транспортных средств.

Законодатели сообщили, что нашли доказательства того, что некоторые учетные записи сотрудников правоохранительных органов, используемые для доступа к Flock, ранее были скомпрометированы и их данные оказались в открытом доступе. В качестве источника данных были названы материалы компании Hudson Rock, специализирующейся на кибербезопасности и выявлении украденных имен пользователей и паролей.

Независимый исследователь кибербезопасности Бен Джордан также предоставил законодателям скриншот, демонстрирующий якобы продажу доступа к учетным записям Flock на российском киберпреступном форуме.

В ответ на запрос TechCrunch компания Flock предоставила комментарий от своего главного юрисконсульта Дэна Хейли. Он сообщил, что с ноября 2024 года MFA включена по умолчанию для всех новых клиентов, и на данный момент 97% клиентов из правоохранительных органов уже активировали эту функцию.

Это означает, что примерно 3% клиентов компании — потенциально десятки правоохранительных учреждений — отказались от включения MFA, ссылаясь на "свои причины", как написал Хейли. Пресс-секретарь Flock Холли Бейлин не предоставила точное количество клиентов из правоохранительных органов, которые еще не включили MFA, не уточнила, входят ли в их число федеральные агентства, и не объяснила, почему Flock не требует от клиентов использования этой функции безопасности.

Ранее издание 404 Media сообщало, что Управление по борьбе с наркотиками США (DEA) использовало пароль местного полицейского для доступа к камерам Flock с целью поиска лица, подозреваемого в "нарушении иммиграционного законодательства", причем это произошло без ведома самого офицера. Полицейское управление Палос-Хайтс заявило, что после инцидента они активировали многофакторную аутентификацию.