توافق D-Link على تحسين أمانها في تسوية FTC

click fraud protection

وافقت D-Link على تحسين أمان أنظمتها كجزء من تسوية FTC

تسوية دي لينكانتهت الدعوى القضائية لعام 2017 ضد D-Link بتسوية من 32 صفحة يوم الثلاثاء

وصلت دعوى لجنة التجارة الفيدرالية الأمريكية (FTC) لعام 2017 ضد D-Link أخيرًا إلى نهايتها. اتهمت السلطات الأمريكية شركة تصنيع أجهزة الشبكات التايوانية رفيعة المستوى بعدم القيام بذلك حماية أجهزتها بشكل مناسب وتجاهل التحذيرات الخاصة بنقاط ضعف البرامج الأكثر خطورة التقارير.

وفقًا للشكوى الأصلية المنشورة في عام 2017 ، فشل D-Link في عدة مناسبات:[1]

فشل المدعى عليهم في اتخاذ خطوات معقولة لحماية أجهزة التوجيه و IP الخاصة بهمالكاميرات من المخاطر المعروفة والمتوقعة بشكل معقول من الوصول غير المصرح به ، بما في ذلك بالفشل في الحماية من العيوب التي صنفها مشروع أمان تطبيق الويب المفتوحمن بين الثغرات الأمنية الأكثر انتشارًا وانتشارًا في تطبيقات الويب منذ عام 2007 على الأقل.

تعرض الإجراءات التي اتخذتها شركة تصنيع الأجهزة خصوصية الملايين من المواطنين الأمريكيين وسلامتهم على الإنترنت للخطر ، حيث كان مستخدمو أجهزة التوجيه والكاميرات في جميع أنحاء البلاد عرضة للهجمات الإلكترونية.

اتُهمت الشركة الرائدة في مجال تصنيع إنترنت الأشياء باستخدام بيانات اعتماد مشفرة بسهولة ويسهل تخمينها في برنامج الكاميرا الخاص بها ، بدعوى أن الجهاز آمن تمامًا من عمليات التطفل غير المصرح بها وتخزين تفاصيل تسجيل الدخول إلى تطبيق الهاتف المحمول في نص عادي ، بالإضافة إلى الفشل في تأمين الأجهزة من المعلومات المعروفة نقاط الضعف.

نتيجة لذلك ، وافقت D-Link على تنفيذ تدابير أمنية جديدة ، بالإضافة إلى تضمين التغييرات اللازمة في التصنيع والتوثيق واختبار الأمان والعمليات الأخرى.

سيستمر برنامج أمان البرامج الشامل لمدة 20 عامًا

من أجل معالجة الموقف ، أُجبرت D-Link على الموافقة على العديد من الشروط التي وضعتها لجنة التجارة الفيدرالية ، بما في ذلك الدخول في برنامج أمان البرامج الذي من المقرر أن يستمر لمدة 20 عامًا على الأقل:[2]

أُمر بأن المدعى عليه يجب ، لمدة عشرين (20) عامًا بعد إدخال هذا الأمر ، الاستمرار في أو إنشاء وتنفيذ وصيانة ، أمن البرامج الشامل برنامج ("برنامج أمان البرنامج") الذي تم تصميمه لتوفير الحماية لأمن أجهزته المغطاة ، ما لم يتوقف المدعى عليه عن تسويق أو توزيع أو بيع أي برنامج مغطى الأجهزة.

تتضمن بعض المسؤوليات الجديدة لمصنِّع إنترنت الأشياء ما يلي:

  • إنشاء موظفين مخصصين لصيانة وتقييم وكتابة محتويات البرنامج على مر السنين ؛
  • تخطيط عمليات الأمان واختبار البرامج بحثًا عن نقاط الضعف قبل إطلاق الجهاز الجديد ؛
  • إجراء تقييم للتهديدات لتحديد المخاطر الداخلية والخارجية المتعلقة بالبرنامج داخل الأجهزة المصنعة للشركة ؛
  • إعداد التحديثات التلقائية للبرامج الثابتة ؛
  • تدريب مستمر للموظفين والبائعين المسؤولين عن تطوير ومراجعة البرامج للأجهزة المنتجة ، إلخ.

بالإضافة إلى ذلك ، وافقت D-Link أيضًا على الخضوع لعمليات تدقيق مكثفة كل عامين على مدى السنوات العشر القادمة من أجل الوصول إلى شهادة الامتثال الأمني. يجب أيضًا تقديم توثيق عمليات التدقيق هذه إلى لجنة التجارة الفيدرالية الأمريكية للسنوات الخمس القادمة.

تبنت دي لينك التغييرات ووافقت على التسوية

من الواضح أن D-Link فشل في حماية أجهزته ، إلى جانب العديد من المستخدمين من الهجمات الإلكترونية ، وخلال الـ 2.5 سنة الماضية ، كان مجرمو الإنترنت يسيئون استخدام زلات الشركة المصنعة على نطاق واسع.

في يونيو من العام الماضي ، تمكن مؤلفو الروبوتات Satori من استغلال عيب خطير في تنفيذ التعليمات البرمجية في أجهزة D-Link التي تم استخدامها من قبل Verizon ومستخدمي ISP الآخرين.[3] في يوليو 2018 ، تمكن المهاجمون من سرقة شهادة الأمان المقدمة من D-Link ، والتي سمحت لهم بدفع البرامج الضارة إلى آلاف الأجهزة.[4] نتيجة لذلك ، يمكن للقراصنة سرقة كلمات المرور والتحكم في الجهاز عن بعد عبر الباب الخلفي.

وافق D-Link على التسوية ، حيث عبر John Vecchione ، الرئيس التنفيذي ومستشار التجربة الرئيسي لـ D-Link ، عن الأفكار التالية:[5]

سيكون لهذه الحالة تأثير دائم ، ونأمل أن تشكل السياسة العامة بشكل إيجابي في المجالات المهمة للتكنولوجيا وأمن البيانات والخصوصية. من المأمول أن يؤدي رفض المحكمة لدعوى "الظلم" الخاصة بالشكوى بسبب عدم الدفع بضرر فعلي للمستهلكين إلى إعادة تركيز جهود لجنة التجارة الفيدرالية على الممارسات يجرح بالفعل مستهلكين محددين ، ويوفر لشركات التكنولوجيا قدرًا إضافيًا من اليقين الضروري للتطور بدون إذن التعاون.