Ustawodawcy proszą FTC o zbadanie praktyk cyberbezpieczeństwa Flock Safety. Chodzi o brak wymuszania MFA i ryzyko nieuprawnionego dostępu do danych z ALPR - Security Bez Tabu

Ustawodawcy proszą FTC o zbadanie praktyk cyberbezpieczeństwa Flock Safety. Chodzi o brak wymuszania MFA i ryzyko nieuprawnionego dostępu do danych z ALPR

Wprowadzenie do problemu / definicja luki

Grupa demokratycznych ustawodawców z senatorem Ronem Wydenem i kongresmenem Rają Krishnamoorthim wezwała Federalną Komisję Handlu (FTC) do wszczęcia postępowania wobec Flock Safety — dostawcy sieci kamer do automatycznego odczytu tablic rejestracyjnych (ALPR). Powód: rzekomo niedostateczne zabezpieczenia, w tym brak wymogu stosowania wieloskładnikowego uwierzytelniania (MFA) dla klientów z organów ścigania, co ma narażać wrażliwe dane o przemieszczaniu się obywateli na dostęp hakerów i obcych służb.

W skrócie

  • Ustawodawcy wskazują, że skradzione hasła co najmniej 35 kont klientów Flock krążyły w sieci, a firma nie wymaga MFA i nie zapewnia domyślnie „phishing-resistant MFA” (np. FIDO2/WebAuthn).
  • Sam Flock twierdzi, że MFA jest włączane domyślnie dla nowych klientów od XI 2024 r., a 97% klientów law enforcement ma MFA aktywne; ok. 3% wciąż nie.
  • Skala systemu: według dokumentów nadzoru i pism Wydena Flock współpracuje z tysiącami agencji i przechowuje miliardy skanów pojazdów miesięcznie.
  • Wcześniej firma tymczasowo wstrzymała pilotaże z federalnymi agencjami (CBP/HSI) po kontrowersjach o zakres i cel wykorzystania danych.

Kontekst / historia / powiązania

Flock Safety jest jednym z największych operatorów ALPR w USA; jego platforma umożliwia zapytania m.in. po numerze tablicy, marce/modelu auta, a nawet atrybutach wizualnych. W ostatnich miesiącach firma znalazła się pod ostrzałem za udostępnianie (w ramach pilotaży) dostępu agencjom federalnym oraz za praktyki, które – zdaniem krytyków – ułatwiają nadużycia w obszarach imigracji czy egzekwowania restrykcyjnych przepisów stanowych. Po medialnych doniesieniach i audytach stanowych Flock deklarował zmiany polityk i ograniczenia zapytań federalnych.

Analiza techniczna / szczegóły luki

Słabe wymuszanie kontroli dostępu

  • Brak obowiązkowego MFA dla kont organów ścigania tworzy krytyczną lukę: przejęte hasło = pełny dostęp do „law-enforcement-only” części portalu i zapytań w bazie z miliardami skanów. List do FTC podaje przykłady kompromitacji danych uwierzytelniających oraz wskazuje brak domyślnego wsparcia dla „phishing-resistant MFA”.

Ryzyko „przejęcia sesji przez sąsiada” i lateralne nadużycia

  • Doniesienia opisują sytuacje, gdy loginy były współdzielone lub kradzione, co potencjalnie pozwalało obcym użytkownikom wykonywać zapytania bez wykrycia. To klasyczny brak rygoru w A&A (Authentication & Authorization) i audycie zdarzeń.

Domyślne konfiguracje i spójność egzekwowania

  • Firma odpowiada, że od XI 2024 MFA jest domyślne dla nowych klientów, a 97% organów ścigania ma MFA aktywne. Pozostaje jednak „luka zgodności” (ok. 3%), która w ekosystemach o takiej skali oznacza wciąż dziesiątki agencji bez trwałej drugiej składowej.

Łańcuch zaufania i międzyjurysdykcyjny dostęp do danych

  • Według pism Wydena platforma łączy tysiące podmiotów, a funkcje typu „National Lookup Tool” ułatwiają szerokie udostępnianie danych między agencjami. Bez twardych reguł rozliczalności (case ID, uzasadnienie, RBAC, ograniczenia geograficzne) rośnie ryzyko nadużyć i trudność w dochowaniu wymogów stanowych.

Praktyczne konsekwencje / ryzyko

  • Ryzyko prywatności na poziomie populacyjnym: ALPR pozwala odtworzyć trasy do klinik, miejsc kultu, mityngów wsparcia czy protestów; wycieki lub dostęp bez kontroli mają realny efekt mrożący (chilling effect).
  • Ryzyko prawne i regulacyjne: FTC już wcześniej uderzała w firmy, które nie wymuszały MFA; podobne wątki w sprawie Flock mogą skutkować nakazami oraz zobowiązaniami do wdrożeń środków bezpieczeństwa (np. SSAE/ISAE, niezależne audyty).
  • Ryzyko dla gmin/miast: odbiorcy publiczni mogą naruszać prawo stanowe przy niewłaściwym udostępnianiu danych (przykład Illinois i kontrowersje wokół zapytań CBP/HSI).

Rekomendacje operacyjne / co zrobić teraz

Dla CISO/CIO w sektorze publicznym i prywatnym korzystającym z ALPR lub podobnych platform:

  1. Wymuś phishing-resistant MFA (FIDO2/WebAuthn) na wszystkich kontach; blokuj SMS/voice jako jedyną metodę. Wprowadź politykę „no-MFA, no-login”.
  2. SSO + IdP-enforced policies: integracja z IdP (Okta/AAD) z Conditional Access, geofencingiem, IP allowlistingiem i wymogiem certyfikowanych kluczy sprzętowych dla ról uprzywilejowanych.
  3. RBAC i zasada najmniejszych uprawnień: osobne role dla zapytań lokalnych vs. międzyjurysdykcyjnych; ograniczaj zakres (czas, geografia) i funkcje masowych wyszukiwań.
  4. Twarde metadane zapytań: wymóg obowiązkowego numeru sprawy + ustrukturyzowanego powodu (drop-down), walidacja w IdP/SIEM; odrzuć wolne pole tekstowe jako jedyną ścieżkę.
  5. Audyty i detekcja anomalii: koreluj logi dostępu z kontekstem sprawy; alertuj na logowania z nietypowych AS/ASN, nietypowe wolumeny zapytań, „pożyczone” konta czy współdzielenie poświadczeń.
  6. Segmentacja danych i retencja: minimalizuj retencję, domyślne „privacy by default”, szyfrowanie w spoczynku i w tranzycie; jasne DPA/DUA z klauzulami dot. podmiotów federalnych.
  7. Testy Red Team / tabletop: scenariusze „po przejęciu konta” (account-takeover) oraz „przeciek danych zapytań” – z ćwiczeniem ścieżek zgłoszeń i notyfikacji.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

W piśmie do FTC parlamentarzyści wskazują na wcześniejsze sprawy, w których Komisja egzekwowała odpowiedzialność za brak MFA (m.in. Uber, Drizly, Blackbaud i inne wymienione w liście). Wspólny mianownik: brak wymuszenia podstawowych kontroli dostępu i niedostateczne zarządzanie ryzykiem kont skompromitowanych. Różnica na niekorzyść ALPR polega na skali wrażliwości danych ruchowych oraz na międzyinstytucyjnym modelu wymiany – co amplifikuje skutki pojedynczego przejęcia konta.

Podsumowanie / kluczowe wnioski

  • Sprawa Flock Safety to nie tylko spór o konfigurację MFA, lecz test dojrzałości całego ekosystemu ALPR: jeśli tożsamość nie jest silnie weryfikowana i rozliczana, to każdy inny kontroler zawodzi.
  • Niezależnie od wyniku potencjalnego dochodzenia FTC, organizacje korzystające z usług ALPR powinny już teraz podnieść poprzeczkę: phishing-resistant MFA, SSO, twarde metadane zapytań, ścisły audyt i minimalizacja retencji.

Źródła / bibliografia

  • The Record: „Lawmakers ask FTC to probe Flock Safety’s cybersecurity practices” (03.11.2025). (The Record from Recorded Future)
  • Biuro senatora R. Wydena: „Wyden, Krishnamoorthi Urge FTC to Investigate…” (03.11.2025). (wyden.senate.gov)
  • List Wydena dot. Flock (16.10.2025) – szczegóły skali i praktyk udostępniania.
  • TechCrunch: „Lawmakers say stolen police logins are exposing Flock…” (03.11.2025) – stanowisko Flock i dane o 97%/3% MFA. (TechCrunch)
  • AP News: „License plate camera company halts cooperation with federal agencies…” (VIII.2025) – tło dot. pilotów CBP/HSI i zmian polityk. (AP News)