Os legisladores pediram à Comissão Federal de Comércio que investigasse a Flock Safety, uma empresa que opera câmeras de varredura de placas de veículos, por supostamente não implementar proteções de segurança cibernética que expõem sua rede de câmeras a hackers e espiões.
Em uma carta enviada pelo senador Ron Wyden (D-OR) e pelo deputado Raja Krishnamoorthi (D-IL, 8º), os legisladores instam o presidente da FTC, Andrew Ferguson, a investigar por que Flock não impõe o uso de autenticação multifator (MFA), uma proteção de segurança que impede o acesso malicioso por alguém com conhecimento da senha do titular da conta.
Wyden e Krishnamoorthi disseram que, embora a empresa ofereça aos seus clientes responsáveis pela aplicação da lei a capacidade de habilitar o MFA, “a Flock não exige isso, o que a empresa confirmou ao Congresso em outubro”, de acordo com a carta.
Wyden e Krishnamoorthi disseram que se hackers ou espiões estrangeiros souberem da senha de um usuário responsável pela aplicação da lei, “eles poderão obter acesso a áreas exclusivas do site do Flock para aplicação da lei e pesquisar bilhões de fotos de placas de carros de americanos coletadas por câmeras financiadas pelos contribuintes em todo o país”.
A Flock opera uma das maiores redes de câmeras e leitores de placas de veículos nos EUA, fornecendo acesso a mais de 5.000 departamentos de polícia, bem como a empresas privadas, em todo o país. As câmeras do Flock escaneiam as placas dos veículos que passam para que a polícia e as agências federais com login na plataforma do Flock possam pesquisar os bilhões de fotos capturadas e rastrear por onde os veículos viajaram em um determinado momento.
Os legisladores disseram ter encontrado evidências de que alguns dos logins dos clientes da Flock foram roubados e compartilhados on-line, citando dados da Hudson Rock, uma empresa de segurança cibernética que identifica nomes de usuário e senhas roubados por malware que rouba informações.
O pesquisador de segurança independente Benn Jordan também forneceu aos legisladores uma captura de tela mostrando um fórum russo de crimes cibernéticos supostamente vendendo acesso a logins do Flock.
Quando contatado pelo TechCrunch para comentar, Flock compartilhou a resposta da empresa em uma carta de seu diretor jurídico Dan Haley, na qual ele diz que a empresa ativou o MFA por padrão para todos os novos clientes a partir de novembro de 2024, e que 97% de seus clientes de aplicação da lei habilitaram o MFA até o momento.
Isso deixa cerca de 3% dos clientes da empresa – potencialmente dezenas de agências de aplicação da lei – que se recusaram a ativar o MFA, citando “razões específicas para eles”, escreveu Haley.
Holly Beilin, porta-voz da Flock, não forneceu imediatamente um número específico de clientes policiais que ainda não ativaram o MFA, digamos se alguma agência federal está entre os clientes restantes ou por que motivo a Flock não exige que seus clientes ativem o recurso de segurança.
A 404 Media informou anteriormente que a Administração Antidrogas dos EUA usou a senha de um policial local para acessar as câmeras de Flock e procurar um indivíduo suspeito de uma “violação de imigração”, mas sem o conhecimento do policial. O Departamento de Polícia de Palos Heights disse que ativou a autenticação multifatorial após a violação.
