مشرعون يطالبون بالتحقيق مع Flock Safety لثغرات أمنية تعرض بيانات لوحات الترخيص للاختراق

طالب مشرعون أمريكيون لجنة التجارة الفيدرالية (FTC) بالتحقيق مع شركة Flock Safety، وهي شركة تدير كاميرات مسح لوحات الترخيص، بسبب مزاعم فشلها في تطبيق حماية الأمن السيبراني التي تعرض شبكة كاميراتها للمتسللين والجواسيس.

في رسالة أرسلها السيناتور رون وايدن (ديمقراطي من أوريغون) والنائب راجا كريشنامورثي (ديمقراطي من إلينوي، الدائرة الثامنة)، حث المشرعون رئيس لجنة التجارة الفيدرالية أندرو فيرغسون على التحقيق في سبب عدم فرض شركة Flock استخدام المصادقة متعددة العوامل (MFA)، وهي حماية أمنية تمنع الوصول الضار من قبل شخص لديه معرفة بكلمة مرور صاحب الحساب.

قال وايدن وكريشنامورثي إنه بينما تقدم الشركة لعملائها من وكالات إنفاذ القانون القدرة على تمكين المصادقة متعددة العوامل، "فإن Flock لا تطلب ذلك، وهو ما أكدته الشركة للكونغرس في أكتوبر"، وفقًا للرسالة.

وأضاف وايدن وكريشنامورثي أنه إذا علم المتسللون أو الجواسيس الأجانب بكلمة مرور مستخدم من وكالات إنفاذ القانون، "يمكنهم الوصول إلى مناطق مخصصة لوكالات إنفاذ القانون فقط على موقع Flock والبحث في مليارات الصور للوحات ترخيص الأمريكيين التي جمعتها الكاميرات الممولة من دافعي الضرائب في جميع أنحاء البلاد."

تدير Flock واحدة من أكبر شبكات الكاميرات وقارئات لوحات الترخيص في الولايات المتحدة، وتوفر الوصول لأكثر من 5000 قسم شرطة، بالإضافة إلى الشركات الخاصة، في جميع أنحاء البلاد. تقوم كاميرات Flock بمسح لوحات ترخيص المركبات العابرة بحيث يمكن للشرطة والوكالات الفيدرالية التي لديها صلاحيات دخول إلى منصة Flock البحث في مليارات الصور الملتقطة وتتبع الأماكن التي سافرت إليها المركبات في أي وقت.

قال المشرعون إنهم عثروا على أدلة على أن بعض بيانات تسجيل الدخول لعملاء Flock من وكالات إنفاذ القانون قد سُرقت وشاركت عبر الإنترنت في السابق، مستشهدين ببيانات من Hudson Rock، وهي شركة أمن سيبراني تحدد أسماء المستخدمين وكلمات المرور المسروقة بواسطة برامج ضارة لسرقة المعلومات.

كما قدم الباحث الأمني المستقل بن جوردان للمشرعين لقطة شاشة تظهر منتدى روسيًا للجرائم الإلكترونية يزعم بيع صلاحيات الوصول إلى حسابات Flock.

عندما تواصلت TechCrunch مع Flock للتعليق، شاركت الشركة ردها في رسالة من كبير مسؤوليها القانونيين دان هيلي، الذي ذكر أن الشركة قامت بتفعيل المصادقة متعددة العوامل افتراضيًا لجميع العملاء الجدد بدءًا من نوفمبر 2024، وأن 97% من عملائها من وكالات إنفاذ القانون قد قاموا بتمكين المصادقة متعددة العوامل حتى الآن.

وكتب هيلي أن هذا يترك حوالي 3% من عملاء الشركة - ربما عشرات من وكالات إنفاذ القانون - الذين رفضوا تفعيل المصادقة متعددة العوامل، مشيرين إلى "أسباب خاصة بهم".

لم تقدم هولي بيلين، المتحدثة باسم Flock، على الفور عددًا محددًا من عملاء وكالات إنفاذ القانون الذين لم يقوموا بتفعيل المصادقة متعددة العوامل بعد، ولم تذكر ما إذا كانت أي وكالات فيدرالية من بين العملاء المتبقين، أو ما هو السبب الذي يجعل Flock لا تطلب من عملائها تفعيل ميزة الأمان هذه.

كما أفادت سابقًا 404 Media، استخدمت إدارة مكافحة المخدرات الأمريكية (DEA) كلمة مرور ضابط شرطة محلي للوصول إلى كاميرات Flock للبحث عن فرد مشتبه به في "انتهاك للهجرة"، ولكن دون علم الضابط. وقالت إدارة شرطة بالوس هايتس إنها قامت بتفعيل المصادقة متعددة العوامل بعد هذا الاختراق.