Một nhóm các nhà lập pháp tại Hoa Kỳ vừa yêu cầu Ủy Ban Thương Mại Liên Bang (FTC) mở cuộc điều tra đối với Flock Safety, công ty vận hành hệ thống camera quét biển số xe trên toàn quốc. Theo các nghị sĩ, Flock Safety đã không áp dụng các biện pháp bảo vệ an ninh mạng cần thiết, khiến mạng lưới camera giám sát của họ dễ bị tin tặc và gián điệp tấn công.
Trong một bức thư gửi Chủ Tịch FTC Andrew Ferguson, Thượng Nghị Sĩ Ron Wyden (Dân Chủ – Oregon) và Dân Biểu Raja Krishnamoorthi (Dân Chủ – Illinois) bày tỏ sự lo ngại về việc Flock Safety không bắt buộc sử dụng xác thực đa yếu tố (MFA). Đây là một biện pháp bảo mật quan trọng nhằm ngăn chặn truy cập trái phép ngay cả khi tin tặc có được mật khẩu tài khoản người dùng.
Hai nhà lập pháp nhấn mạnh rằng nếu mật khẩu của người dùng thuộc cơ quan công lực bị đánh cắp, tin tặc hoặc gián điệp ngoại quốc có thể truy cập vào các khu vực chỉ dành cho cơ quan pháp luật trên trang web của Flock. Từ đó, họ có thể tìm kiếm hàng tỷ bức ảnh biển số xe của người Mỹ được thu thập bởi các camera do tiền thuế tài trợ trên khắp quốc gia.
Flock Safety hiện đang vận hành một trong những mạng lưới camera và đầu đọc biển số xe lớn nhất Hoa Kỳ, cung cấp dịch vụ cho hơn 5.000 sở cảnh sát cũng như các doanh nghiệp tư nhân trên khắp đất nước. Hệ thống này cho phép cảnh sát và các cơ quan liên bang theo dõi lịch sử di chuyển của xe cộ qua các bức ảnh biển số xe đã chụp.
Các nghị sĩ cũng cho biết có bằng chứng cho thấy một số tài khoản của khách hàng cơ quan công lực của Flock đã từng bị đánh cắp và chia sẻ công khai trên mạng, dựa trên dữ liệu từ Hudson Rock – một công ty an ninh mạng. Bên cạnh đó, nhà nghiên cứu bảo mật độc lập Benn Jordan còn cung cấp ảnh chụp màn hình một diễn đàn tội phạm mạng của Nga rao bán thông tin đăng nhập Flock.
Phản hồi về vấn đề này, Flock Safety cho biết công ty đã thiết lập MFA mặc định cho tất cả khách hàng mới kể từ tháng 11 năm 2024 và 97% khách hàng thuộc cơ quan công lực hiện tại đã kích hoạt tính năng này. Tuy nhiên, điều này có nghĩa là khoảng 3% khách hàng – có thể là hàng chục cơ quan chấp pháp – vẫn chưa kích hoạt MFA với lý do “đặc thù riêng của họ,” theo ông Dan Haley, Giám Đốc Pháp Lý của Flock. Bà Holly Beilin, phát ngôn viên của Flock, không cung cấp con số cụ thể các cơ quan chưa bật MFA hay lý do Flock không bắt buộc tính năng bảo mật này.
Trước đó, 404 Media từng đưa tin Cơ Quan Chống Ma Túy Hoa Kỳ (DEA) đã sử dụng mật khẩu của một sĩ quan cảnh sát địa phương (mà sĩ quan đó không hề hay biết) để truy cập camera của Flock nhằm tìm kiếm một cá nhân bị nghi ngờ vi phạm di trú. Sở Cảnh Sát Palos Heights sau đó đã kích hoạt xác thực đa yếu tố.
Tin tức được tổng hợp từ TechCrunch.
