A Flock Safety egy amerikai vállalat, amely az egyik legnagyobb rendszámfelismerő kamerahálózatot üzemelteti az Egyesült Államokban. Több mint 5 000 rendőrségi és magánvállalati ügyfél számára biztosít hozzáférést a rendszámokat rögzítő kamerák által gyűjtött adatokhoz. Ezek a kamerák folyamatosan pásztázzák az utakon haladó járművek rendszámtábláit, lehetővé téve a hatóságok számára, hogy nyomon kövessék az adott járművek mozgását.
Az aggasztó biztonsági hiányosságok
Nemrégiben azonban törvényhozók, köztük Senátor Ron Wyden (D-OR) és Képviselő Raja Krishnamoorthi (D-IL, 8. kerület), levelet intéztek az Egyesült Államok Szövetségi Kereskedelmi Bizottságának (FTC), amelyben vizsgálatot sürgetnek a Flock Safety ellen. Az indok: a cég nem alkalmaz megfelelő kiberbiztonsági intézkedéseket, amelyek miatt hálózatuk sebezhetővé válhat hackerek és kémek számára.
A levélben különösen kiemelik, hogy bár a Flock lehetőséget biztosít ügyfeleinek a többfaktoros hitelesítés (MFA) használatára – amely egy kulcsfontosságú biztonsági megoldás, mely megakadályozza, hogy illetéktelenek hozzáférjenek egy fiókhoz még akkor is, ha ismerik annak jelszavát –, ezt nem kötelezővé teszi. A cég októberi kongresszusi meghallgatáson is megerősítette, hogy nem írja elő az MFA használatát.
Miért kritikus az MFA hiánya?
Wyden és Krishnamoorthi szerint ez súlyos kockázatot jelent, mert ha hackerek vagy külföldi kémek megszerzik egy rendőrségi felhasználó jelszavát, akkor hozzáférhetnek a kizárólag hatósági használatra fenntartott területekhez a Flock platformján. Ezáltal kereshetnek az országban elhelyezett kamerák által gyűjtött több milliárd rendszámfotó között, és nyomon követhetik az amerikai állampolgárok járműveinek mozgását – mindezt adófizetők pénzéből finanszírozott eszközök segítségével.
A bizonyítékok és korábbi incidensek
A törvényhozók hivatkoznak olyan bizonyítékokra is, amelyek szerint néhány rendőrségi ügyfél bejelentkezési adatait már ellopták és online megosztották. Ezt megerősíti a Hudson Rock nevű kiberbiztonsági cég adata is, amely információlopó rosszindulatú programok által ellopott felhasználóneveket és jelszavakat gyűjt.
Egy független biztonsági kutató, Benn Jordan pedig egy képernyőképet bocsátott rendelkezésre, amely egy orosz kiberbűnözői fórumot ábrázol, ahol állítólag Flock-fiókokhoz való hozzáférést árulnak.
A Flock Safety válasza és jelenlegi helyzet
A TechCrunch megkeresésére a Flock Safety jogi igazgatója, Dan Haley válaszolt egy levélben. Ebben közölte, hogy 2024 novemberétől alapértelmezetté tették az MFA használatát minden új ügyfél számára. Jelenleg ügyfeleik 97%-a már aktiválta ezt a biztonsági funkciót.
Ugyanakkor körülbelül 3% – ami potenciálisan több tucatnyi rendőrségi szervet jelenthet – még nem kapcsolta be az MFA-t. Haley szerint ezek az ügyfelek „számukra specifikus okokra” hivatkozva döntöttek így. A Flock szóvivője, Holly Beilin nem adott pontos adatokat arról, hogy hány rendőrségi szervezet tartozik ebbe a csoportba, illetve hogy vannak-e közöttük szövetségi ügynökségek is.
Egy korábbi incidens: az USA Kábítószer-ellenes Hivatala esete
Korábban a 404 Media beszámolt arról az esetről is, amikor az Egyesült Államok Kábítószer-ellenes Hivatala (DEA) egy helyi rendőr jelszavát használta fel engedély nélkül a Flock kameráinak elérésére egy személy „bevándorlási szabálysértés” gyanújával történő keresése céljából. Az eset után a Palos Heights Rendőrkapitányság bekapcsolta a többfaktoros hitelesítést rendszereiben.
Következtetések és ajánlások
A Flock Safety esete jól példázza, milyen fontos napjainkban a megfelelő kiberbiztonsági intézkedések alkalmazása különösen olyan rendszereknél, amelyek érzékeny adatokat kezelnek és széles körben elérhetőek hatóságok számára. A többfaktoros hitelesítés nem csupán ajánlott funkció, hanem alapvető védelmi réteg kellene legyen minden ilyen platformon.
- Többfaktoros hitelesítés (MFA): Megakadályozza az illetéktelen hozzáférést még akkor is, ha valaki megszerzi a jelszót.
- Kiberbiztonsági vizsgálatok: Fontos rendszeresen ellenőrizni és javítani a rendszerek sebezhetőségeit.
- Átláthatóság: A cégeknek tájékoztatniuk kell ügyfeleiket és a nyilvánosságot biztonsági intézkedéseikről.
- Törvényi szabályozás: Az állami szerveknek érdemes szigorúbb előírásokat bevezetniük az ilyen adatkezelő vállalatokra vonatkozóan.
A Flock Safety ügye rávilágít arra is, hogy még mindig vannak olyan technológiai szolgáltatók, akik nem teszik meg minden szükséges lépést ügyfeleik adatainak védelméért – ez pedig komoly aggályokat vet fel mind az adatvédelem, mind pedig a közbiztonság szempontjából.