Amerika Birleşik Devletleri’nin en büyük gözetim kamera ağlarından birini işleten Flock Safety, ciddi siber güvenlik açıkları nedeniyle ABD Kongresi’nin hedefi oldu. Senatör Ron Wyden (D-OR) ve Temsilci Raja Krishnamoorthi (D-IL) liderliğindeki iki önemli yasa koyucu, Çok Faktörlü Kimlik Doğrulama (MFA) uygulamasının zorunlu tutulmamasının, hackerlar ve yabancı istihbarat servislerinin kritik verilere erişimini kolaylaştırdığı gerekçesiyle Federal Ticaret Komisyonu’nu (FTC) acil soruşturma başlatmaya çağırdı.
Flock Safety’nin sistemleri, ABD genelinde 5.000’den fazla emniyet teşkilatı ve özel kuruluş tarafından kullanılıyor ve yoldan geçen araçların plakalarının milyarlarca fotoğrafını topluyor. Bu devasa veri seti, yetkili kullanıcıların araçların geçmiş hareketlerini takip etmesine olanak tanıyor.
Güvenlik Açığının Odağı: Neden MFA Zorunlu Değil?
Yasa koyucular, FTC Başkanı Andrew Ferguson’a gönderdikleri mektupta, bir kullanıcının şifresi çalınsa bile yetkisiz erişimi önleyen temel bir güvenlik önlemi olan MFA’nın Flock tarafından zorunlu kılınmamasını eleştirdi. Flock, bu özelliği müşterilerine sunmasına rağmen, Kongre’ye yaptığı açıklamada bunun zorunlu olmadığını doğruladı.
Wyden ve Krishnamoorthi, bir hackerın veya yabancı bir casusun bu şifreleri ele geçirmesi durumunda, ‘Flock’un yalnızca kolluk kuvvetlerine özel alanlarına erişebileceğini ve vergi mükelleflerinin fonlarıyla toplanan Amerikalıların plakalarına ait milyarlarca fotoğrafı arayabileceğini’ vurguladı. Bu durum, sadece kişisel mahremiyeti değil, ulusal güvenliği de doğrudan tehdit ediyor.
Hacker Tehdidi ve Çalınan Şifre Kanıtları
Yasa koyucular, endişelerini desteklemek üzere somut kanıtlar sundu. Siber güvenlik şirketi Hudson Rock’tan alınan veriler, bazı Flock müşterisi emniyet teşkilatlarına ait giriş bilgilerinin daha önce çalındığını ve online platformlarda paylaşıldığını gösteriyor. Ayrıca, bağımsız güvenlik araştırmacısı Benn Jordan tarafından sunulan bir ekran görüntüsü, Rus siber suç forumlarında Flock giriş bilgilerine erişimin satışa sunulduğunu iddia ediyor.
Bu kanıtlar, Flock’un sistemlerine yetkisiz erişimin teorik bir tehdit olmaktan çıkıp, aktif bir risk haline geldiğini ortaya koyuyor. Çalınan şifreler genellikle bilgi çalan kötü amaçlı yazılımlar (infostealing malware) aracılığıyla elde ediliyor ve bu durum, yerel polis karakollarının bile gelişmiş siber tehditlere karşı ne kadar savunmasız olduğunu gözler önüne seriyor.
Flock Safety’nin Savunması ve Kalan Riskler
TechCrunch'a yapılan açıklamada, Flock Safety Hukuk Baş Sorumlusu Dan Haley, şirketin savunmasını bir mektupla iletti. Haley, Kasım 2024 itibarıyla tüm yeni müşteriler için MFA’nın varsayılan olarak açık hale getirildiğini belirtti ve mevcut kolluk kuvveti müşterilerinin %97’sinin bugüne kadar MFA’yı etkinleştirdiğini bildirdi.
Önemli Detay: Kalan %3’lük Açık
%97’lik yüksek benimseme oranı bir başarı gibi görünse de, kalan %3’lük kesim kritik bir güvenlik açığı oluşturuyor. Haley, bu oranın onlarca kolluk kuvveti anlamına gelebileceğini ve bu kurumların MFA’yı açmamakta “kendilerine özgü nedenler” ileri sürdüğünü ifade etti. Flock, bu müşterilerin tam sayısını, aralarında federal kurum olup olmadığını veya neden bu güvenlik özelliğini zorunlu kılmadıklarını açıklamaktan kaçındı. Bu durum, tüm ağın güvenliğinin, en zayıf halkasına bağlı kaldığını gösteriyor.
Kapsam Dışı Kullanım ve Mahremiyet Tartışmaları
Flock kameralarının yarattığı risk sadece siber saldırılarla sınırlı değil; aynı zamanda verilerin kötüye kullanım potansiyelini de beraberinde getiriyor. 404 Media’nın daha önce bildirdiği gibi, ABD Uyuşturucuyla Mücadele İdaresi (DEA), bir göçmenlik ihlali şüphelisini aramak için yerel bir polis memurunun şifresini, memurun bilgisi olmadan kullanarak Flock kameralarına erişim sağlamıştı. Bu olay, verilerin yasal sınırların ötesinde nasıl kullanılabileceğine dair ciddi bir emsal teşkil etti ve ilgili polis departmanının derhal MFA’yı etkinleştirmesine yol açtı.
Bu tür yüksek profilli olaylar sadece ticari platformlarla sınırlı kalmıyor. Yakın zamanda ABD’nin önde gelen eğitim kurumlarından Penn Üniversitesi de siber saldırıya uğradı. Saldırganlar, üniversitenin resmi e-posta sistemine erişerek mezun ve öğrencilere toplu, siyasi mesajlar içeren e-postalar gönderdi ve FERPA (Aile Eğitimi Hakları ve Gizliliği Yasası) kapsamındaki hassas öğrenci verilerini sızdırma tehdidinde bulundu. Bu saldırının, üniversitenin Beyaz Saray'ın akademik politikalarla ilgili tartışmalı sözleşme teklifini reddetmesinin hemen ardından gelmesi, siber güvenliğin artık siyasi ve aktivist güdülerle de tehdit edildiğini gösteriyor. Penn Üniversitesi'ndeki bu siber saldırı ve detayları hakkında daha fazla bilgi edinmek için Penn Üniversitesi siber saldırı, FERPA ihlali ve siyasi mesajlar başlıklı içeriğimizi inceleyebilirsiniz.
Bu tür siber saldırıların ulusal güvenlik üzerindeki ciddi etkileri, sadece ticari platformlarla sınırlı kalmıyor. ABD telekomünikasyon devlerinden Ribbon da benzer bir tehlikeyle karşılaştı. Şirket, kritik altyapı kuruluşlarına ve Savunma Bakanlığına (DoD) hizmet veren ağına, hükümet destekli olduğu düşünülen siber korsanların neredeyse bir yıl boyunca erişim sağladığını açıkladı. Bu olay, siber korsanların uzun soluklu istihbarat toplama amacıyla büyük veri ve altyapı sağlayıcılarını nasıl hedef aldığını gösteriyor ve Flock'un aksine, MFA zorunluluğu gibi temel adımların ötesinde, gelişmiş tehditlere karşı sürekli savunma gerekliliğini vurguluyor. ABD telekom devi Ribbon'a yönelik bir yıl süren bu kritik altyapı güvenliği tehdidi hakkında daha fazla bilgi edinmek için buraya tıklayabilirsiniz.
Bu tür gözetim sistemleri, kamu güvenliğini artırma potansiyeli sunsa da, vatandaşların hareketlerinin sürekli kayıt altında tutulması, temel mahremiyet haklarına yönelik endişeleri artırıyor. Yasa koyucuların FTC’ye yaptığı bu çağrı, veri güvenliği standartlarının teknoloji şirketleri tarafından daha sıkı uygulanması gerektiğini ve büyük veri toplayan platformların ulusal güvenlik ve sivil özgürlükler üzerindeki etkisinin artık göz ardı edilemeyeceğini gösteriyor.
Kaynak: TechCrunch
