Американские законодатели обратились к Федеральной торговой комиссии с просьбой провести расследование в отношении компании Flock Safety, управляющей сетью камер для считывания номерных знаков. Парламентарии подозревают, что недостаточный уровень кибербезопасности на платформе Flock ставит под угрозу данные пользователей и позволяет хакерам или шпионам получить доступ к конфиденциальной информации.
Об этом сообщает ProIT
Уязвимости в защите данных Flock Safety
В письме сенатора Рона Уайдена (демократ, штат Орегон) и конгрессмена Раджи Кришнамурти (демократ, штат Иллинойс) к председателю Федеральной торговой комиссии Эндрю Фергюсону отмечается, что компания не требует обязательного использования многофакторной аутентификации (MFA). Эта функция позволяет защитить учетные записи даже в случае компрометации пароля, но, как подтвердили представители Flock в октябре, ее активация остается добровольной для правоохранительных органов.
Законодатели подчеркивают, что в случае, если злоумышленники узнают пароль сотрудника полиции, они могут получить доступ к закрытым разделам сайта Flock и искать среди миллиардов изображений номерных знаков автомобилей, которые собираются камерами по всей стране за счет налогоплательщиков.
Кража учетных записей и реакция компании
Flock Safety обслуживает более 5 000 отделов полиции и частных компаний в США. Ее камеры фиксируют номерные знаки транспортных средств, а правоохранители, имеющие доступ к платформе Flock, могут отслеживать маршруты передвижения автомобилей в любое время.
Депутаты сообщили, что обнаружили доказательства кражи учетных записей некоторых правоохранителей, которые впоследствии были опубликованы в Интернете. Они ссылаются на данные компании Hudson Rock, которая специализируется на выявлении учетных данных, попавших в руки вредоносного программного обеспечения.
Независимый исследователь в области безопасности Бен Джордан также предоставил парламентариям скриншот, на котором видно, что на российском форуме киберпреступников предлагают купить доступ к логинам Flock.
«Flock не требует обязательной многофакторной аутентификации, что компания подтвердила Конгрессу в октябре».
В письме главного юриста Flock Safety Дэна Гейли указывается, что с ноября 2024 года MFA будет включена по умолчанию для всех новых клиентов, а 97% правоохранительных органов уже активировали эту опцию. В то же время около 3% клиентов, что потенциально составляет десятки ведомств, отказались от перехода на MFA по «личным причинам». Пресс-секретарь компании Холли Бейлин отказалась уточнить точное количество таких клиентов, а также не сообщила, входят ли в их число федеральные структуры и почему Flock не настаивает на обязательном внедрении защиты.
Ранее сообщалось, что Управление по контролю за оборотом наркотиков США воспользовалось паролем местного полицейского для доступа к камерам Flock в поисках лица, подозреваемого в нарушении иммиграционного законодательства, без ведома самого полицейского. После этого инцидента полиция Палос-Хайтс активировала многофакторную аутентификацию для своих учетных записей.