Společnost D-Link souhlasila se zlepšením zabezpečení svých systémů v rámci vypořádání FTC
Žaloba americké Federální obchodní komise (FTC) proti D-Linku z roku 2017 konečně skončila. Americké úřady obvinily významného tchajwanského výrobce síťového hardwaru, že ne adekvátně chránit svá zařízení a ignorovat varování o nejzávažnějších zranitelnostech softwaru zprávy.
Podle původní stížnosti zveřejněné v roce 2017 D-Link selhal při několika příležitostech:[1]
Obžalovaní neučinili přiměřené kroky k ochraně svých routerů a IPkamer před široce známými a rozumně předvídatelnými riziky neoprávněného přístupu, včetně tím, že se to nepodařilo chránit před chybami, které projekt Open Web Application Security Project ohodnotilmezi nejkritičtější a nejrozšířenější zranitelnosti webových aplikací minimálně od roku 2007.
Akce výrobce hardwaru ohrozily soukromí a online bezpečnost milionů občanů USA, protože uživatelé směrovačů a kamer po celé zemi byli zranitelní vůči kybernetickým útokům.
Přední výrobce internetu věcí byl obviněn z používání pevně zakódovaných a snadno uhodnutelných přihlašovacích údajů ve svém softwaru fotoaparátu a tvrdil, že hardware je zcela bezpečný. před neoprávněným vniknutím a ukládáním přihlašovacích údajů k mobilní aplikaci v prostém textu, kromě toho, že se nepodařilo zabezpečit zařízení před známými zranitelnosti.
V důsledku toho společnost D-Link souhlasila s implementací nových bezpečnostních opatření a také se zahrnutím nezbytných změn ve výrobě, dokumentaci, testování zabezpečení a dalších procesech.
Komplexní program zabezpečení softwaru bude trvat 20 let
Za účelem nápravy situace byla společnost D-Link nucena souhlasit s mnoha podmínkami stanovenými FTC, včetně vstupu do Programu zabezpečení softwaru, který má trvat nejméně 20 let:[2]
NAŘÍZUJEME, že Žalovaný bude po dobu dvaceti (20) let od vstupu této Objednávky pokračovat v komplexním zabezpečení softwaru nebo jej zavádět, implementovat a udržovat. program (dále jen „Program zabezpečení softwaru“), který je navržen tak, aby poskytoval ochranu zabezpečení svých Zahrnutých zařízení, pokud Žalovaný nepřestane uvádět na trh, distribuovat nebo prodávat jakékoli Zahrnuté Zařízení.
Některé z nových povinností výrobce internetu věcí zahrnují:
- Zřídit oddané zaměstnance, kteří budou v průběhu let udržovat, hodnotit a psát obsah programu;
- Plánování bezpečnostních procesů a testování softwaru na zranitelnosti před vydáním nových zařízení;
- Provádění hodnocení hrozeb k identifikaci interních a externích rizik souvisejících se softwarem uvnitř zařízení vyrobených společností;
- Nastavení automatických aktualizací firmwaru;
- Průběžná školení pro zaměstnance a dodavatele odpovědné za vývoj a kontrolu softwaru pro vyráběný hardware atd.
Kromě toho D-Link také souhlasil s tím, že po dobu následujících deseti let bude každé dva roky podstupovat rozsáhlé audity, aby dosáhl certifikace bezpečnostní shody. Dokumentace těchto auditů musí být také poskytnuta Federální obchodní komisi USA po dobu následujících pěti let.
D-Link přijal změny a souhlasil s vyrovnáním
Je jasné, že D-Link nedokázal ochránit svá zařízení spolu s mnoha uživateli před kybernetickými útoky a během posledních 2,5 roku kyberzločinci hojně zneužívali přehmatů výrobce.
V červnu loňského roku se autorům botnetu Satori podařilo zneužít kritickou chybu při provádění kódu v zařízeních D-Link, která používala společnost Verizon a další uživatelé ISP.[3] V červenci 2018 se aktérům hrozeb podařilo ukrást bezpečnostní certifikát poskytnutý společností D-Link, který jim umožnil poslat malware do tisíců zařízení.[4] V důsledku toho mohli hackeři ukrást hesla a ovládat zařízení na dálku přes zadní vrátka.
D-Link souhlasil s vyrovnáním, protože John Vecchione, generální ředitel a hlavní zkušební poradce společnosti D-Link, vyjádřil následující myšlenky:[5]
Tento případ bude mít trvalý dopad a doufáme, že pozitivně ovlivní veřejnou politiku v důležitých oblastech technologie, bezpečnosti dat a soukromí. Zamítnutí „nespravedlivého“ nároku stížnosti Soudem z důvodu neuplatnění skutečného poškození spotřebitele doufejme znovu zaměří úsilí FTC na praktiky které skutečně poškozují identifikovatelné spotřebitele a poskytují technologickým společnostem dodatečnou jistotu nezbytnou pro vývoj bez povolení a inovace.