قانون‌گذاران می‌گویند سرقت رمزهای پلیس، دوربین‌های نظارتی Flock را در معرض هکرها قرار داده است

قانون‌گذاران آمریکایی از کمیسیون تجارت فدرال درخواست کرده‌اند تا شرکت Flock Safety، اپراتور دوربین‌های پلاک‌خوان خودرو، را به خاطر عدم رعایت استانداردهای امنیت سایبری و قرار گرفتن شبکه دوربین‌های این شرکت در معرض دسترسی هکرها و جاسوسان، مورد بررسی قرار دهد.

در نامه‌ای از سوی سناتور ران وایدن و نماینده راجا کریشنامورتی به رئیس FTC، آن‌ها خواستار تحقیق درباره بی‌توجهی Flock به فعال‌سازی احراز هویت دو عاملی (MFA) شده‌اند؛ قابلیتی امنیتی که جلوی دسترسی بدافزارها و افراد سوءاستفاده‌گر حتی با داشتن رمز عبور را می‌گیرد. این شرکت به ماموران قانون اجازه می‌دهد MFA را فعال کنند اما الزامی به این کار ایجاد نکرده و این موضوع را در ماه اکتبر به کنگره تایید کرده است.

شرکت Flock یکی از بزرگ‌ترین شبکه‌های دوربین و پلاک‌خوان را در آمریکا دارد و به بیش از ۵۰۰۰ اداره پلیس و بسیاری از شرکت‌های خصوصی سرویس می‌دهد. دوربین‌های این شرکت پلاک خودروهای عبوری را ثبت می‌کنند تا پلیس و ادارات فدرال با داشتن نام کاربری و رمز عبور بتوانند میلیاردها عکس ذخیره شده را جستجو کنند و مسیر حرکت خودروها را ردیابی کنند.

در این نامه آمده که شواهدی از سرقت و انتشار رمزهای کاربران پلیس در اینترنت وجود دارد؛ از جمله داده‌های شرکت امنیت سایبری Hudson Rock که اطلاعات مربوط به رمزهای دزدیده شده توسط بدافزار را فاش کرده است. همچنین یک پژوهشگر مستقل حوزه امنیت، تصویر یک انجمن سایبری روسی را به قانون‌گذاران نشان داده که گفته می‌شود دسترسی به حساب‌های Flock را می‌فروشد.

پاسخ شرکت Flock و نرخ فعال‌سازی MFA

سخنگوی Flock اعلام کرد که از نوامبر ۲۰۲۴ احراز هویت دو عاملی برای همه مشتریان جدید به صورت پیش‌فرض فعال می‌شود و اکنون ۹۷٪ مشتریان پلیس فعال MFA دارند. این در حالی است که ۳٪ مشتریان (ده‌ها اداره پلیس) هنوز MFA را فعال نکرده‌اند و بنا به دلایل خاص از این کار امتناع کرده‌اند. سخنگو عدد دقیق این ادارات یا اینکه آیا آژانس فدرالی هم در این لیست هست را اعلام نکرد.

این مورد نشان می‌دهد که عدم فعال‌سازی MFA نه تنها می‌تواند باعث دسترسی غیرمجاز داخلی شود، بلکه می‌تواند ابزاری برای نظارت گسترده بدون مجوز قانونی نیز باشد.