议员警告：警用账号被盗，Flock监控摄像头恐遭黑客入侵

美国议员正在敦促联邦机构调查车牌扫描公司 Flock Safety。他们警告称，由于该公司未能强制要求所有执法部门用户开启多因素认证（MFA）这一基本安全措施，其庞大的监控网络正面临被黑客和外国间谍入侵的严重风险。已有证据表明，部分警用账户的登录信息被盗并在网上出售，这意味着未经授权的人员可能已经能够访问并追踪数以亿计的车辆位置数据。尽管 Flock 声称大部分客户已启用 MFA，但仍有部分机构未受保护，安全漏洞依然存在。

未能强制执行的关键安全措施

Flock 公司为全美超过 5000 个警察部门和私营企业提供服务，其摄像头网络收集了数十亿张车牌照片。议员们的核心担忧在于，该公司未能强制执行一项基础的网络安全保护措施。

• 可选的安全选项： Flock 为其执法客户提供了启用多因素认证（MFA）的选项，但并不强制要求。MFA 是一种关键的安全保护，即使用户密码泄露，也能阻止恶意登录。
• 巨大的潜在风险： 这种策略上的疏忽为恶意行为者打开了方便之门。

如果黑客或外国间谍获得了执法用户的密码，他们就可以进入 Flock 网站上仅对执法部门开放的区域，搜索由纳税人资助的摄像头在全国范围内收集的数十亿张美国人车牌照片。

账户泄露的实际证据

议员们指出，这种风险并非纯理论上的，已有证据表明 Flock 的客户账户信息已经遭到泄露。

• 网络安全公司发现，一些 Flock 执法客户的登录信息已被盗并在网上共享。
• 一名独立安全研究员提供的截图显示，一个俄罗斯网络犯罪论坛上有人正在出售 Flock 账户的访问权限。

Flock 的回应与遗留问题

面对指控，Flock 公司分享了其应对措施，但仍有一些关键问题未能得到解答。

• 新政策： 从 2024 年 11 月起，公司已为所有新客户默认开启 MFA。
• 现有客户情况： Flock 声称，迄今为止已有 97% 的执法客户启用了 MFA。
• 安全缺口依然存在： 这意味着仍有大约 3% 的客户（可能涉及数十个执法机构）没有开启 MFA。

Flock 将这些机构未启用 MFA 的原因归结为“他们自身的特定原因”，但并未详细说明。该公司也未解释为何不直接强制所有客户使用这一关键安全功能，从而彻底消除这一已知的风险。