Câmeras da Flock Safety podem ter sido expostas a hackers após roubo de logins policiais

A empresa norte-americana Flock Safety, responsável por uma das maiores redes de câmeras de reconhecimento de placas veiculares dos Estados Unidos, está sendo pressionada por parlamentares a responder por falhas graves em sua segurança digital.

Os senadores Ron Wyden (D-OR) e Raja Krishnamoorthi (D-IL) enviaram uma carta à Comissão Federal de Comércio (FTC) pedindo uma investigação sobre a companhia, que teria deixado suas câmeras vulneráveis a hackers e espiões estrangeiros por não exigir o uso de autenticação multifator (MFA) em suas contas.

Segundo os legisladores, a Flock permite que seus clientes — em grande parte departamentos de polícia — ativem a MFA, mas não a torna obrigatória, uma decisão que, segundo eles, compromete a segurança nacional e a privacidade de milhões de cidadãos. “Se um hacker ou espião estrangeiro obtiver a senha de um policial, pode acessar áreas restritas do site da Flock e consultar bilhões de fotos de placas de veículos coletadas em todo o país”, afirmaram na carta.

A Flock opera mais de 5.000 parcerias com departamentos de polícia e empresas privadas nos EUA. Suas câmeras, instaladas em vias públicas, capturam e armazenam informações sobre o deslocamento de veículos, possibilitando o rastreamento em tempo real de motoristas. No entanto, a investigação dos congressistas aponta que dados de login de agentes da lei já foram roubados e compartilhados online, segundo informações da empresa de cibersegurança Hudson Rock.

Além disso, o pesquisador independente Benn Jordan apresentou uma captura de tela mostrando que credenciais da Flock estavam sendo vendidas em um fórum russo voltado a atividades hackers. Em resposta, a empresa alegou que desde novembro de 2024 passou a ativar a MFA por padrão em novas contas e que 97% dos clientes da área de segurança pública já habilitaram o recurso.

Ainda assim, cerca de 3% dos clientes da Flock — possivelmente dezenas de agências policiais — continuam sem MFA, alegando “razões específicas”, segundo o diretor jurídico da companhia, Dan Haley. A porta-voz Holly Beilin não informou se entre esses clientes estão agências federais, nem justificou por que a empresa não tornou o recurso obrigatório.

Casos anteriores já haviam levantado preocupações sobre o uso indevido do sistema.

O site 404 Media revelou que a Agência de Combate às Drogas (DEA) utilizou a senha de um policial local, sem seu conhecimento, para acessar câmeras da Flock em uma investigação de imigração. Após o episódio, o departamento envolvido implementou a autenticação multifator.

Via - TR