Flock Safety Üzerine İnceleme Talebi
Yasayı düzenleyenler, Flock Safety şirketinin lisans plaka tarama kameraları işlettiği ve siber güvenlik korumalarını yeterince uygulamadığı iddiaları üzerine Federal Ticaret Komisyonu’na (FTC) araştırma yapması için çağrıda bulundu. Şirketin, kameralarının ağını hack’lere ve casuslara karşı savunmasız bıraktığı öne sürülüyor.
Çok Faktörlü Kimlik Doğrulama Eksikliği
Senatör Ron Wyden (D-OR) ve Temsilci Raja Krishnamoorthi (D-IL, 8. Bölge) tarafından gönderilen bir mektupta, FTC Başkanı Andrew Ferguson’dan Flock’un neden çok faktörlü kimlik doğrulamasını (MFA) zorunlu kılmadığını araştırması talep ediliyor. Bu güvenlik özelliği, hesap sahibinin şifresini bilen kötü niyetli kişilerin sisteme erişimini engelleyerek önemli bir koruma sağlıyor.
Flock’un Güvenlik Açığı ve Olası Sonuçları
Wyden ve Krishnamoorthi, Flock’un, kanun uygulayıcı müşterilerine MFA kullanma seçeneği sunduğunu, ancak bunu zorunlu kılmadığını vurguladı. Bu durumun ciddi sonuçları olabileceğini belirten yasayı düzenleyenler, “Eğer hack’ler veya yabancı casuslar bir kanun uygulayıcı kullanıcının şifresini öğrenirse, Flock’un web sitesinin yalnızca yasa uygulayıcılar için olan bölümlerine erişebilir ve tüm ülke genelinde vergi mükellefleri tarafından finanse edilen kameralarla toplanan on milyarlarca Amerikan plakası fotoğrafını arayabilir.” diye ifade ettiler.
Flock, ABD’deki en büyük kamera ve lisans plaka okuyucu ağlarından birine sahiptir ve ülke genelinde 5,000’den fazla polis departmanına ve özel işletmelere hizmet vermektedir. Flock’un kameraları, geçen araçların plakalarını taramaktadır ve bu bilgileri kanun uygulayıcı ve federal ajanslar için erişilebilir hale getirmektedir.
Güvenlik Araştırmaları ve İddialar
Yasayı düzenleyenler, Flock’un bazı kanun uygulayıcı müşterilerinin kullanıcı adlarının ve şifrelerinin daha önce çalındığına dair kanıtlar bulduklarını ifade etti. Bu bilgiler, bilgi çalan kötü amaçlı yazılımlardan etkilenen kullanıcı adlarını tespit eden bir siber güvenlik şirketi olan Hudson Rock‘tan alınmıştır.
Bağımsız güvenlik araştırmacısı Benn Jordan da yasayı düzenleyenlere, Rusya’daki bir siber suç forumunda Flock kullanıcı girişi erişiminin satıldığına dair bir ekran görüntüsü sundu.
Flock’tan Gelen Yanıt
TechCrunch ile iletişime geçtiğinde, Flock şirketi, hukuk güvenlik sorumlusunun Dan Haley tarafından yazılan bir mektupta, şirketin Ekim 2024 itibarıyla tüm yeni müşterilere MFA’yi varsayılan olarak açtığını ve şu anda yasa uygulayıcı müşterilerinin %97’sinin MFA’yi etkinleştirdiğini bildirdi. Bu durumda, şirketin müşterilerinin yaklaşık %3’ü – muhtemelen onlarca kanun uygulayıcı ajans – MFA’yı devreye almak istemediklerini belirtmişlerdir.
Flock’un yetkilisi Holly Beilin, MFA’yı etkinleştirmeyen kanun uygulayıcı müşterilerin özel sayısını veya bu müşteriler arasında herhangi bir federal ajansın bulunup bulunmadığını belirtmedi.
Geçmişteki Güvenlik İhlalleri
404 Media, ABD Uyuşturucu ile Mücadele İdaresi’nin, Flock’un kameralarına erişmek için bir yerel polis memurunun şifresini kullanarak, kişinin “göçmenlik ihlali” şüphesiyle arama yaptığını, ancak bu durumdan memurun haberdar olmadığını daha önce bildirmişti. Palos Heights Polisi, bu ihlaldan sonra çok faktörlü kimlik doğrulamayı devreye aldığını açıkladı.
