انتقاد از شرکت Flock بابت ضعف‌های امنیتی در دوربین‌های ثبت پلاک

نمایندگان کنگره آمریکا خواستار تحقیق درباره آسیب‌پذیری دوربین‌های نظارتی شرکت Flock شدند که یکی از بزرگ‌ترین شبکه‌های نظارتی را در ایالات متحده اداره می‌کند.

به گزارش افتانا، گروهی از قانون‌گذاران آمریکایی از کمیسیون فدرال تجارت (FTC) خواسته‌اند تا عملکرد امنیتی شرکت Flock Safety، که شبکه‌ای گسترده از دوربین‌های اسکن پلاک خودرو در سراسر کشور را اداره می‌کند، مورد بررسی قرار گیرد. آن‌ها می‌گویند بی‌توجهی این شرکت به الزامات امنیتی، باعث شده است تا هکرها و حتی عوامل خارجی بتوانند به داده‌های حساس دسترسی پیدا کنند. در نامه‌ای که توسط رون وایدن، سناتور دموکرات از ایالت اورگن، و راجا کریشنامورتی، نماینده ایلی‌نوی، به رئیس FTC ارسال شده، آمده است: شرکت Flock با وجود ارائه قابلیت احراز هویت چندمرحله‌ای (MFA) برای مشتریان خود، استفاده از آن را الزامی نکرده است.

به گفته این نمایندگان، این موضوع بدین معناست که در صورت افشای رمز عبور کاربران، مهاجمان سایبری می‌توانند به بخش‌های محرمانه وب‌سایت Flock وارد شوند و به میلیاردها تصویر از پلاک خودروهای شهروندان آمریکایی که با بودجه عمومی جمع‌آوری شده‌اند، دسترسی یابند.

شرکت Flock Safety یکی از بزرگ‌ترین شبکه‌های نظارتی در ایالات متحده را اداره می‌کند. بیش از ۵۰۰۰ اداره پلیس و نهاد خصوصی از این سامانه برای ردیابی خودروها استفاده می‌کنند. این دوربین‌ها پلاک خودروهای عبوری را ثبت کرده و امکان جست‌وجوی مسیر حرکت خودروها را برای کاربران مجاز فراهم می‌کنند.

وایدن و کریشنامورتی گفته‌اند شواهدی در دست دارند که نشان می‌دهد برخی از حساب‌های کاربری نیروهای پلیس در این سامانه قبلاً به سرقت رفته و در اینترنت به اشتراک گذاشته شده‌اند. داده‌های شرکت امنیت سایبری Hudson Rock نیز این موضوع را تأیید می‌کند. افزون بر این، پژوهشگر مستقل امنیت سایبری بن جردن تصویری از یک انجمن جرایم سایبری روسی در اختیار قانون‌گذاران قرار داده که در آن دسترسی به حساب‌های Flock برای فروش عرضه شده بود.

در پاسخ به این انتقادها، شرکت Flock در بیانیه‌ای رسمی اعلام کرد که از نوامبر ۲۰۲۴ احراز هویت چندمرحله‌ای را برای تمامی مشتریان جدید به‌صورت پیش‌فرض فعال کرده و تاکنون ۹۷ درصد از مشتریان نیروهای انتظامی این ویژگی را فعال کرده‌اند. با این حال، حدود ۳ درصد از مشتریان – که ممکن است شامل ده‌ها اداره پلیس باشند – هنوز MFA را فعال نکرده‌اند. دن هیلی، مدیر ارشد حقوقی Flock، در نامه‌ای نوشت که این نهادها «به دلایل خاص خود» از فعال‌سازی این قابلیت خودداری کرده‌اند. هالی بایلین، سخنگوی شرکت، از ارائه جزئیات درباره تعداد دقیق نهادهای مجری قانون که هنوز MFA را فعال نکرده‌اند یا اینکه آیا در میان آن‌ها سازمان‌های فدرال نیز وجود دارند، خودداری کرد.

طبق گزارش پیشین رسانه 404 Media، اداره مبارزه با مواد مخدر آمریکا (DEA) با استفاده از رمز عبور یکی از افسران پلیس محلی به سامانه Flock دسترسی پیدا کرده و بدون اطلاع آن افسر، از دوربین‌ها برای جست‌وجوی یک فرد مظنون به «تخلف مهاجرتی» استفاده کرده بود. پس از این حادثه، اداره پلیسPalos Heights اعلام کرد که احراز هویت چندمرحله‌ای را برای کاربران خود فعال کرده است.