مقامات هشدار می‌دهند سرقت اطلاعات ورود پلیس، دوربین‌های نظارتی فِلاک را در معرض نفوذ هکرها قرار داده است.

سیاستمداران خواستار بررسی فدرال تجارت در مورد شرکت فلوک سیفتی شدند

قانونگذاران از کمیسیون فدرال تجارت (Federal Trade Commission) خواسته‌اند تا شرکت فلوک سیفتی (Flock Safety)، که به‌عنوان یک شرکت فعال در زمینه دوربین‌های اسکن پلاک خودرو شناخته می‌شود، به‌دلیل ادعای عدم اجرای محافظت‌های سایبری (cybersecurity protections) که شبکه دوربین‌های آن را در معرض هکرها و جاسوسان قرار می‌دهد، مورد بررسی قرار دهد.

نامه سناتور ویدن و نماینده کریشنامورتی

در نامه‌ای که توسط سناتور ران وایدن (دمکرات-اورگن) و نماینده راجا کریشنامورتی (دمکرات-ایلینوی، حوزه هشتم) ارسال شده، این قانونگذاران از اندرو فرگوسن، رئیس کمیسیون فدرال تجارت، درخواست کرده‌اند تا بررسی کند که چرا فلوک استفاده از احراز هویت چندعاملی (Multi-Factor Authentication – MFA) را اعمال نمی‌کند. این یک لایه حفاظتی امنیتی است که از دسترسی مخرب توسط فردی که رمز عبور دارنده حساب را می‌داند، جلوگیری می‌کند.

اختیاری بودن احراز هویت چندعاملی از سوی فلوک

ویدن و کریشنامورتی اظهار داشتند که اگرچه این شرکت به مشتریان اجرای قانون خود امکان فعال کردن MFA را می‌دهد، اما فلوک آن را اجباری نمی‌کند، موضوعی که شرکت در اکتبر گذشته به کنگره تأیید کرده است.

خطرات دسترسی غیرمجاز به داده‌های حساس

ویدن و کریشنامورتی هشدار دادند که اگر هکرها یا جاسوسان خارجی از رمز عبور یک کاربر اجرای قانون مطلع شوند، می‌توانند به بخش‌های اختصاصی وب‌سایت فلوک که فقط برای اجرای قانون در نظر گرفته شده دسترسی پیدا کنند و در میان میلیاردها عکس از پلاک‌های خودروی آمریکایی‌ها که توسط دوربین‌های تأمین‌شده با بودجه مالیات‌دهندگان در سراسر کشور جمع‌آوری شده، جستجو کنند.

مقیاس گسترده شبکه فلوک سیفتی

فلوک یکی از بزرگترین شبکه‌های دوربین و خواننده‌های پلاک (license plate readers) را در ایالات متحده اداره می‌کند و دسترسی به داده‌های آن برای بیش از ۵۰۰۰ اداره پلیس در سراسر کشور، و همچنین کسب‌وکارهای خصوصی فراهم است. دوربین‌های فلوک پلاک خودروهای در حال عبور را اسکن می‌کنند تا پلیس و آژانس‌های فدرال که به پلتفرم فلوک دسترسی دارند، بتوانند در میان میلیاردها عکس ثبت‌شده جستجو کرده و مسیر حرکت خودروها در هر زمان مشخصی را ردیابی کنند.

شواهد سرقت اطلاعات ورود کاربران

این قانونگذاران گفتند که شواهدی یافته‌اند که نشان می‌دهد اطلاعات ورود برخی از مشتریان اجرای قانون فلوک قبلاً سرقت شده و به صورت آنلاین به اشتراک گذاشته شده است. آن‌ها به داده‌های شرکت امنیت سایبری هادسون راک (Hudson Rock) استناد کردند که نام‌کاربری و رمزهای عبور سرقت‌شده توسط بدافزارهای سرقت اطلاعات (information-stealing malware) را شناسایی می‌کند.

همچنین، بِن جردن، پژوهشگر امنیتی مستقل، یک تصویر از یک فروم روسی جرایم سایبری در اختیار قانونگذاران قرار داده است که ادعا می‌شود در آن دسترسی به اطلاعات ورود سیستم فلوک به فروش می‌رسد.

پاسخ و اقدامات فلوک سیفتی

هنگامی که از سوی تک‌کرانچ برای اظهارنظر در این مورد تماس گرفته شد، فلوک پاسخ شرکت را در قالب نامه‌ای از دن هیلی، رئیس حقوقی شرکت، ارائه کرد. او در این نامه می‌گوید که شرکت از نوامبر ۲۰۲۴، احراز هویت چندعاملی (MFA) را به‌صورت پیش‌فرض برای تمامی مشتریان جدید فعال کرده است و تا به امروز، ۹۷ درصد از مشتریان اجرای قانون آن، MFA را فعال کرده‌اند.

این بدان معناست که حدود ۳ درصد از مشتریان شرکت – که احتمالاً شامل ده‌ها سازمان اجرای قانون می‌شوند – از فعال کردن MFA خودداری کرده‌اند. هیلی نوشت که این مشتریان به دلایل خاص خود از این کار امتناع ورزیده‌اند.

سخنگوی فلوک از ارائه جزئیات بیشتر خودداری کرد

هالی بیلین، سخنگوی فلوک، بلافاصله تعداد مشخصی از مشتریان اجرای قانون که هنوز MFA را فعال نکرده‌اند ارائه نداد. او همچنین نگفت که آیا هیچ‌یک از آژانس‌های فدرال در میان مشتریان باقی‌مانده قرار دارند یا خیر، و یا به چه دلیلی فلوک استفاده از این قابلیت امنیتی را برای مشتریانش اجباری نمی‌کند.