Legisladores dicen que los accesos robados a los registros de la policía están exponiendo las cámaras de vigilancia de Flock a los hackers.
Una cámara de vigilancia de matrícula de Flock en un poste de la calle en San Francisco.
Los legisladores han instado a la Comisión Federal de Comercio a investigar a Flock Safety, una empresa que opera cámaras de escaneo de matrículas, por presuntamente no implementar protecciones cibernéticas que exponen su red de cámaras a hackers y espías.
En una carta enviada por Sen. Ron Wyden (D-OR) y Rep. Raja Krishnamoorthi (D-IL, 8th), los legisladores instan al presidente de la FTC, Andrew Ferguson, a investigar por qué Flock no obliga al uso de autenticación de múltiples factores (MFA), una protección de seguridad que impide el acceso malicioso por parte de alguien que conozca la contraseña del titular de la cuenta.
Wyden y Krishnamoorthi dijeron que, aunque la empresa ofrece a sus clientes de la ley la capacidad de habilitar MFA, “Flock no lo requiere, lo que la empresa confirmó ante el Congreso en octubre,” según la carta.
Wyden y Krishnamoorthi dijeron que si los hackers o espías extranjeros conocen la contraseña de un usuario de la ley, “pueden acceder a áreas exclusivas para la ley de Flock’s sitio web y buscar las miles de fotos de matrículas de americanos recopiladas por cámaras financiadas por los contribuyentes a lo largo del país.”
Flock opera una de las redes más grandes de cámaras y lectores de matrículas en EE.UU., proporcionando acceso a más de 5,000 departamentos de policía, así como empresas privadas, a lo largo del país. Las cámaras de Flock escanean las matrículas de los vehículos que pasan para que la policía y las agencias federales con acceso a la plataforma de Flock puedan buscar las miles de fotos capturadas y rastrear dónde han viajado los vehículos en cualquier momento dado.
Los legisladores dijeron que habían encontrado evidencia de que algunas de las cuentas de los clientes de la ley de Flock habían sido robadas y compartidas en línea, citando datos de Hudson Rock, una empresa de ciberseguridad que identifica nombres de usuario y contraseñas robadas por malware de robo de información.
El investigador de seguridad independiente Benn Jordan también proporcionó a los legisladores una captura de pantalla que muestra un foro de cibercrimen ruso supuestamente vendiendo acceso a las cuentas de Flock.
Cuando TechCrunch se puso en contacto con Flock para obtener un comentario, la empresa compartió la respuesta de su jefe legal, Dan Haley, en la que dice que la empresa habilitó MFA por defecto para todos los nuevos clientes a partir de noviembre de 2024, y que el 97% de sus clientes de la ley han habilitado MFA hasta la fecha.
Esto deja alrededor del 3% de los clientes de la empresa — potencialmente docenas de agencias de la ley — que han declinado habilitar MFA, citando “razones específicas para ellos,” escribió Haley.
Holly Beilin, portavoz de Flock, no proporcionó inmediatamente un número específico de clientes de la ley que no han habilitado MFA, si alguna agencia federal está entre los clientes restantes, o por qué Flock no obliga a sus clientes a habilitar la característica de seguridad.
404 Media informó anteriormente que la Administración de Control de Drogas de EE.UU. utilizó la contraseña de un oficial de policía local para acceder a las cámaras de Flock para buscar a un individuo sospechoso de una “violación de inmigración,” pero sin el conocimiento del oficial. El Departamento de Policía de Palos Heights dijo que habilitó la autenticación de múltiples factores después del incidente.