Flock Safety gestisce una delle più estese reti di sorveglianza degli Usa, fornendo i propri servizi a oltre 5.000 dipartimenti di polizia e a numerose aziende private. Le possibili falle sistemiche avrebbero moltiplicato i rischi cyber.
Alcuni membri del Congresso Usa hanno chiesto alla Federal Trade Commission (FTC) di avviare un’indagine su Flock Safety. In particolare, gli interrogativi vertono sul motivo per cui Flock non abbia ancora reso obbligatorio l’uso dell’autenticazione a più fattori (MFA). Questa misura di sicurezza, infatti, impedisce l’accesso non autorizzato anche in caso di furto della password.
L’azienda con base ad Atlanta è infatti nota per avere in gestione una vasta rete di telecamere per la lettura automatica delle targhe. Da qui, l’accusa è di non aver implementato adeguate misure di cybersicurezza, esponendo così il proprio sistema a possibili intrusioni da parte di hacker criminali o di “spie straniere“.
In una lettera indirizzata al presidente della FTC Andrew Ferguson, il senatore Ron Wyden e il deputato Raja Krishnamoorthi, entrambi del Partito Democratico, hanno perciò richiesto di indagare.
Qual è l’accusa dei parlamentari?
Secondo i due legislatori, l’azienda ha fin qui consentito ai clienti – in particolare alle forze dell’ordine – di attivare la MFA, ma senza mai imporla. Un aspetto, quest’ultimo, che la stessa Flock avrebbe confermato al Congresso lo scorso ottobre.
Wyden e Krishnamoorthi hanno avvisato che se dei cyber criminali ottenessero le credenziali di accesso di un utente delle forze dell’ordine, potrebbero accedere ad aree riservate del sito dell’azienda. Da qui, si aprirebbe la possibilità di consultare miliardi di immagini di targhe automobilistiche raccolte da telecamere installate in tutto il Paese con fondi pubblici.
Flock Safety ha in gestione una delle più estese reti di sorveglianza degli Stati Uniti, fornendo i propri servizi a oltre 5.000 dipartimenti di polizia e a numerose aziende private. Le sue telecamere registrano i numeri di targa dei veicoli in transito. Sulla base di questi dati, le forze dell’ordine e le agenzie federali possono tracciare gli spostamenti di qualsiasi automobile registrata nel sistema.
I parlamentari hanno inoltre riferito di aver trovato prove di furti di credenziali appartenenti a clienti delle forze dell’ordine di Flock. Per fa questo, hanno citato le informazioni della società di cybersicurezza Hudson Rock, che monitora username e password rubati da malware.
L’analista Benn Jordan avrebbe anche fornito uno screenshot che mostra un forum russo di cybercriminalità in cui si vendevano presunti accessi agli account di Flock.
La versione di Flock Safety
Interpellata da TechCrunch, l’azienda ha risposto tramite il proprio direttore legale, Dan Haley. Ha spiegato che da novembre 2024 la MFA è stata attivata di default per tutti i nuovi clienti e che il 97% delle forze dell’ordine ha già abilitato la funzione.
Ci sarebbe però ancora un 3% di clienti – potenzialmente decine di agenzie – che non ha ancora adottato la misura, per “motivi specifici”, ha dichiarato Haley.
La portavoce di Flock, Holly Beilin, non ha fornito dettagli sul numero esatto di agenzie che non utilizzano ancora l’autenticazione a più fattori. Non ha nemmeno chiarito se tra queste vi siano enti federali o per quale motivo l’azienda non abbia reso obbligatoria tale protezione.
Il caso non è una novità
Il tema della sicurezza informatica di Flock Safety non è nuovo. Come ha riportato in precedenza 404 Media, la Drug Enforcement Administration (DEA) avrebbe utilizzato la password di un agente di polizia locale, senza il suo consenso, per accedere al sistema di Flock.
Così perando, avrebbe successivamente rintracciato una persona sospettata di violazioni in materia di immigrazione. A seguito di quell’incidente, il dipartimento di polizia di Palos Heights ha reso obbligatoria la MFA per tutti i suoi utenti.
