Amerikaanse politici willen dat toezichthouder FTC onderzoek doet naar de cybersecurity bij Flock, fabrikant van ANPR-camera's. Aanleiding is het niet verplichten van multifactorauthenticatie (MFA) voor klanten en het gebruik van MFA-methodes die door aanvallers zijn te omzeilen, zo schrijven senator Ron Wyden en afgevaardigde Raja Krishnamoorthi in een brief aan de FTC (pdf).

Flock biedt camera's die automatisch kentekenplaten herkennen, ook wel Automatic Number Plate Recognition (ANPR) genoemd. Meer dan vijfduizend politiekorpsen en andere opsporingsdiensten in de VS maken bij onderzoeken gebruik van de camera's. Volgens cybersecuritybedrijf Hudson Rock zijn de inloggegevens van 35 Flock-klanten door malware gestolen.

Met de gestolen inloggegevens zouden aanvallers toegang kunnen krijgen tot het deel van de Flock-website dat alleen bedoeld is voor opsporingsdiensten en zo allerlei vertrouwelijke informatie stelen. De Flock ANPR-camera's verzamelen informatie over kentekens, eigenschappen over het voertuig en waar en wanneer het voertuig is gefilmd. Daarnaast biedt Flock de mogelijkheid aan klanten om in de data te zoeken die door andere klanten is verzameld.

Doordat Flock MFA niet verplicht en geen phishingbestendige MFA gebruikt loopt de gevoelige persoonlijke data van miljoenen Amerikanen risico, aldus de politici. "Flock heeft grote sommen belastinggeld ontvangen om een nationaal surveillancenetwerk te bouwen. Maar de nonchalante houding van Flock als het om cybersecurity gaat stelt Amerikanen nodeloos bloot aan de dreiging van hackers en buitenlandse spionnen die deze data stelen", aldus de brief. Flock laat tegenover TechCrunch weten dat MFA inmiddels voor nieuwe klanten verplicht is en 97 procent van de politiekorpsen de beveiligingsmaatregel heeft ingesteld.