Yasa yapıcılar, Flock Safety adlı şirketin, siber güvenlik korumalarını yetersiz bırakması nedeniyle güvenlik kameralarının hackerlara ve casuslara maruz kaldığını iddia ederek Federal Ticaret Komisyonu’nu (FTC) soruşturma yapmaya çağırdı.
Senatör Ron Wyden ve Temsilci Raja Krishnamoorthi, FTC başkanı Andrew Ferguson’a gönderdikleri bir mektupta, Flock’un neden çok faktörlü kimlik doğrulama (MFA) kullanmadığını sorgulamalarını istedi. Bu güvenlik önlemi, hesap sahibinin şifresini bilen kötü niyetli kişilerin erişimini engelliyor.
Wyden ve Krishnamoorthi, şirketin yasama organı müşterilerine MFA’yı etkinleştirme seçeneği sunmasına rağmen, bunu zorunlu kılmadığını ve bunun Ekim’de Kongre’ye teyit edildiğini belirtti.
Eğer hackerlar veya yabancı casuslar bir yasama organı kullanıcısının şifresini öğrenirse, Flock’un web sitesinin yalnızca yasalarla uygulanan alanlarına erişim sağlayarak, ülke genelinde vergi mükellefleri tarafından finanse edilen kameralarla toplanan milyarlarca plaka görüntüsünü inceleyebilirler.
Flock, ABD’deki en büyük kamera ve plaka okuma ağlarından birini işletiyor ve ülke genelinde 5,000’den fazla polis departmanına ve özel işletmelere erişim sağlıyor. Bu kameralar, geçen araçların plakalarını tarayarak, polis ve federal ajansların Flock platformuna giriş yaparak yakalanan fotoğrafları incelemesini sağlıyor.
Yasa yapıcılar, Flock’un bazı yasama organı müşterilerinin giriş bilgilerinin daha önce çalındığını ve çevrimiçi olarak paylaşıldığını belirtti. Bu konuda Hudson Rock adlı siber güvenlik şirketinin verilerine atıfta bulundu.
Bağımsız güvenlik araştırmacısı Benn Jordan, yasa yapıcılara, bir Rus siber suç forumunda Flock giriş bilgilerine erişim satıldığını gösteren bir ekran görüntüsü sundu.
Flock, TechCrunch ile yaptığı görüşmede, CEO Dan Haley’in mektubunda, yeni müşteriler için MFA’yı varsayılan olarak etkinleştirdiğini ve mevcut yasama organı müşterilerinin %97’sinin bunu etkinleştirdiğini belirtti.
Ancak bu, %3’lük bir kesimin — muhtemelen onlarca yasama organı ajansının — MFA’yı etkinleştirmeyi reddettiği anlamına geliyor. Haley, bunun “özellikle kendilerine özgü nedenler” olduğunu ifade etti.
Flock’un sözcüsü Holly Beilin, MFA’yı henüz etkinleştirmeyen yasama organı müşterilerinin sayısını belirtmedi ve kalan müşteriler arasında federal ajansların olup olmadığı veya Flock’un neden müşterilerini bu güvenlik özelliğini etkinleştirmeye zorunlu kılmadığı konusunda bilgi vermedi.
Daha önce 404 Media tarafından bildirildiği üzere, ABD Uyuşturucu Uygulama İdaresi’nin, bir yerel polis memurunun şifresini kullanarak Flock’un kameralarına erişim sağladığı ve “göçmenlik ihlali” ile suçlanan bir bireyi aradığı öğrenildi. Palos Heights Polis Departmanı, bu ihlalin ardından çok faktörlü kimlik doğrulamayı etkinleştirdi.
