Los legisladores han pedido a la Comisión Federal de Comercio que investigue al operador de la cámara de escaneo de matrículas, Flock Safety, por supuestamente no implementar protecciones de ciberseguridad que expusieron la red de cámaras de la empresa a piratas informáticos y espías.
En una carta enviada el miércoles por el senador Ron Wyden (D-Ore.) y el representante Raja Krishnamoorthi (D-Ill.), los legisladores piden al presidente de la FTC, Andrew Ferguson, que investigue por qué Flock no exige el uso de autenticación multifactor (MFA), una protección de seguridad que evita el acceso malicioso por parte de alguien que conoce la contraseña del propietario de una cuenta.
Según la carta, Wyden y Krishnamoorthi dijeron que si bien la compañía ofrece a sus clientes encargados de hacer cumplir la ley la posibilidad de habilitar MFA, «Flock no lo requiere, y la compañía lo confirmó al Congreso en octubre».
Wyden y Krishnamoorthi dijeron que si los piratas informáticos o los espías extranjeros conocieran la contraseña de un usuario encargado de hacer cumplir la ley, podrían «acceder a áreas exclusivas para las fuerzas del orden del sitio web de Flock y buscar entre los miles de millones de fotografías de matrículas estadounidenses recopiladas por cámaras financiadas por los contribuyentes en todo el país».
Flock opera una de las redes de cámaras y lectores de matrículas más grandes de los Estados Unidos y brinda acceso a más de 5000 departamentos de policía y empresas privadas en todo el país. Las cámaras de Flock escanean las placas de los vehículos que pasan, lo que permite a las fuerzas del orden y a las agencias federales conectadas a la plataforma Flock buscar entre los miles de millones de fotografías tomadas y rastrear dónde y cuándo ha viajado un vehículo.
Los legisladores dijeron que encontraron evidencia de que la información de inicio de sesión de algunos de los clientes policiales de Flock había sido previamente robada y compartida en línea, citando datos de la firma de ciberseguridad Hudson Rock que identifica nombres de usuarios y contraseñas robados por malware que roba información.
El investigador de seguridad independiente Ben Jordan también proporcionó a los legisladores capturas de pantalla que muestran un foro ruso sobre cibercrimen que supuestamente vende acceso a los inicios de sesión de Flock.
Cuando TechCrunch le pidió comentarios, Flock compartió la respuesta de la compañía en una carta del director legal Dan Haley, en la que dijo que la compañía está habilitando MFA de forma predeterminada para todos los nuevos clientes a partir de noviembre de 2024, y que el 97% de sus clientes encargados de hacer cumplir la ley han habilitado MFA hasta la fecha.
Como resultado, alrededor del 3% de los clientes de la empresa, que podrían ser docenas de agencias encargadas de hacer cumplir la ley, se niegan a habilitar MFA por «razones específicas del cliente», escribió Haley.
La portavoz de Flock, Holly Bailin, no dijo de inmediato específicamente cuántos clientes encargados de hacer cumplir la ley aún no han activado MFA, ni dijo si las agencias federales se encuentran entre sus clientes restantes o por qué Flock no requiere que los clientes activen la función de seguridad.
Como informó anteriormente 404 Media, la DEA utilizó la contraseña de un oficial de policía local para acceder a la cámara de Flock y buscar una presunta «violación de inmigración», sin que los oficiales lo supieran. El Departamento de Policía de Palos Heights dijo que activó la autenticación multifactor después de la infracción.
Source link
