قانونگذاران از کمیسیون تجارت فدرال خواستهاند تا در مورد شرکت Flock Safety، که دوربینهای اسکن پلاک خودرو را اداره میکند، به دلیل عدم اجرای تدابیر امنیتی سایبری که شبکه دوربینهای آن را در معرض خطر هکرها و جاسوسان قرار میدهد، تحقیق کند.
در نامهای که توسط سناتور ران وایدن (دموکرات از ایالت اورگان) و نماینده مجلس، راجا کریشنامورتی (دموکرات از ایالت ایلینوی، حوزه هشتم) ارسال شده، قانونگذاران از اندرو فرگوسن، رئیس کمیسیون تجارت فدرال، خواستهاند تا بررسی کند که چرا Flock استفاده از احراز هویت چند عاملی (MFA) را اجباری نمیکند، یک تدبیر امنیتی که از دسترسی مخرب توسط شخصی که از رمز عبور دارنده حساب اطلاع دارد، جلوگیری میکند.
به گفته وایدن و کریشنامورتی، در حالی که این شرکت به مشتریان خود در حوزه اجرای قانون، امکان فعالسازی MFA را ارائه میدهد، اما طبق این نامه، «Flock آن را اجباری نمیکند، که این شرکت در مهر ماه ۱۴۰۴ به کنگره تأیید کرد.»
وایدن و کریشنامورتی اظهار داشتند که اگر هکرها یا جاسوسان خارجی از رمز عبور یک کاربر در حوزه اجرای قانون مطلع شوند، «آنها میتوانند به مناطق مخصوص اجرای قانون در وبسایت Flock دسترسی پیدا کرده و میلیاردها عکس از پلاک خودروهای آمریکاییها را که توسط دوربینهای تأمینشده از بودجه مالیاتدهندگان در سراسر کشور جمعآوری شده است، جستجو کنند.»
Flock یکی از بزرگترین شبکههای دوربین و پلاکخوان در ایالات متحده را اداره میکند و دسترسی به بیش از ۵۰۰۰ اداره پلیس و همچنین مشاغل خصوصی در سراسر کشور را فراهم میکند. دوربینهای Flock پلاک خودروهای عبوری را اسکن میکنند تا پلیس و آژانسهای فدرال با ورود به سیستم عامل Flock بتوانند میلیاردها عکس گرفته شده را جستجو کرده و مسیری را که وسایل نقلیه در هر زمان معین طی کردهاند، ردیابی کنند.
قانونگذاران اعلام کردند که شواهدی یافتهاند مبنی بر اینکه برخی از اطلاعات ورود به سیستم مشتریان Flock در حوزه اجرای قانون قبلاً به سرقت رفته و به صورت آنلاین به اشتراک گذاشته شده است. آنها به دادههای Hudson Rock، یک شرکت امنیت سایبری که نامهای کاربری و رمزهای عبور سرقتشده توسط بدافزارهای سرقتکننده اطلاعات را شناسایی میکند، استناد کردند.
بن جردن، محقق امنیتی مستقل، نیز یک اسکرینشات در اختیار قانونگذاران قرار داد که نشان میدهد یک انجمن جرایم سایبری روسی ادعا میکند که دسترسی به اطلاعات ورود به سیستم Flock را میفروشد.
هنگامی که خبرنگار برای اظهار نظر با Flock تماس گرفت، Flock پاسخ خود را در نامهای از مدیر ارشد حقوقی خود، دن هیلی، به اشتراک گذاشت. در این نامه آمده است که این شرکت MFA را به طور پیشفرض برای همه مشتریان جدید از آبان ماه ۱۴۰۳ فعال کرده است و تا به امروز ۹۷ درصد از مشتریانش در حوزه اجرای قانون، MFA را فعال کردهاند.
این بدان معناست که حدود ۳ درصد از مشتریان این شرکت – احتمالاً دهها آژانس اجرای قانون – از فعال کردن MFA خودداری کردهاند، و به گفته هیلی، «دلایل خاص خود را دارند.»
هالی بیلین، سخنگوی Flock، بلافاصله تعداد مشخصی از مشتریان در حوزه اجرای قانون را که هنوز MFA را فعال نکردهاند، ارائه نکرد، و نگفت که آیا هیچ آژانس فدرال در میان مشتریان باقیمانده وجود دارد یا خیر، و اینکه چرا Flock از مشتریان خود نمیخواهد این ویژگی امنیتی را فعال کنند.
پیش از این، 404 Media گزارش داده بود که اداره مبارزه با مواد مخدر ایالات متحده از رمز عبور یک افسر پلیس محلی برای دسترسی به دوربینهای Flock استفاده کرده تا فردی را که مظنون به «نقض قوانین مهاجرت» بوده، جستجو کند، اما بدون اطلاع افسر. اداره پلیس Palos Heights اعلام کرد که پس از این نقض، احراز هویت چند عاملی را فعال کرده است.
