Các nhà lập pháp đã kêu gọi Ủy ban Thương mại Liên bang điều tra Flock Safety, một công ty vận hành camera quét biển số xe, vì bị cáo buộc không thực hiện các biện pháp bảo vệ an ninh mạng khiến mạng camera của họ bị tin tặc và gián điệp tiếp xúc.
Trong một lá thư được gửi bởi Thượng nghị sĩ Ron Wyden (D-OR) và Hạ nghị sĩ Raja Krishnamoorthi (D-IL, hạng 8), các nhà lập pháp kêu gọi Chủ tịch FTC Andrew Ferguson thăm dò lý do tại sao Flock không thực thi việc sử dụng xác thực đa yếu tố (MFA), một biện pháp bảo vệ an ninh ngăn chặn sự truy cập độc hại của người biết mật khẩu của chủ tài khoản.
Wyden và Krishnamoorthi nói rằng mặc dù công ty cung cấp cho các khách hàng thực thi pháp luật của mình khả năng kích hoạt MFA, nhưng “Flock không yêu cầu điều đó, điều mà công ty đã xác nhận với Quốc hội vào tháng 10,” theo bức thư.
Wyden và Krishnamoorthi nói rằng nếu tin tặc hoặc gián điệp nước ngoài biết được mật khẩu của người dùng thực thi pháp luật, “họ có thể truy cập vào các khu vực chỉ dành cho thực thi pháp luật trên trang web của Flock và tìm kiếm hàng tỷ bức ảnh về biển số xe của người Mỹ được thu thập bởi các camera do người đóng thuế tài trợ trên khắp đất nước.”
Flock vận hành một trong những mạng lưới camera và đầu đọc biển số xe lớn nhất ở Hoa Kỳ, cung cấp quyền truy cập vào hơn 5.000 sở cảnh sát cũng như các doanh nghiệp tư nhân trên khắp đất nước. Camera của Flock quét biển số của các phương tiện đi qua để cảnh sát và các cơ quan liên bang đăng nhập vào nền tảng của Flock có thể tìm kiếm hàng tỷ bức ảnh đã chụp và theo dõi nơi các phương tiện đã di chuyển vào bất kỳ thời điểm nào.
Các nhà lập pháp cho biết họ đã tìm thấy bằng chứng cho thấy một số thông tin đăng nhập của khách hàng thực thi pháp luật của Flock trước đó đã bị đánh cắp và chia sẻ trực tuyến, trích dẫn dữ liệu từ Hudson Rock, một công ty an ninh mạng xác định tên người dùng và mật khẩu bị đánh cắp bởi phần mềm độc hại đánh cắp thông tin.
Nhà nghiên cứu bảo mật độc lập Benn Jordan cũng cung cấp cho các nhà lập pháp một ảnh chụp màn hình cho thấy một diễn đàn tội phạm mạng của Nga bị cáo buộc bán quyền truy cập vào thông tin đăng nhập của Flock.
Khi được TechCrunch liên hệ để yêu cầu bình luận, Flock đã chia sẻ phản hồi của công ty trong một lá thư từ giám đốc pháp lý Dan Haley, trong đó ông nói rằng công ty đã bật MFA theo mặc định cho tất cả khách hàng mới bắt đầu từ tháng 11 năm 2024 và 97% khách hàng thực thi pháp luật của họ đã kích hoạt MFA cho đến nay.
Điều đó khiến khoảng 3% khách hàng của công ty – có thể là hàng chục cơ quan thực thi pháp luật – đã từ chối bật MFA, với lý do “những lý do cụ thể đối với họ”, Haley viết.
Holly Beilin, người phát ngôn của Flock, không cung cấp ngay số lượng khách hàng thực thi pháp luật cụ thể chưa bật MFA, cũng như không cho biết có cơ quan liên bang nào nằm trong số những khách hàng còn lại hay không, hoặc vì lý do gì mà Flock không yêu cầu khách hàng của mình bật tính năng bảo mật.
Như 404 Media đã đưa tin trước đây, Cục Quản lý Thực thi Ma túy Hoa Kỳ đã sử dụng mật khẩu của một sĩ quan cảnh sát địa phương để truy cập vào camera của Flock nhằm tìm kiếm một cá nhân bị nghi ngờ “vi phạm nhập cư” nhưng viên chức này không hề hay biết. Sở Cảnh sát Palos Heights cho biết họ đã bật xác thực đa yếu tố sau vụ vi phạm.