D-Link hat zugestimmt, seine Systemsicherheit im Rahmen der FTC-Vereinbarung zu verbessern
Die Klage 2017 gegen D-Link wurde am Dienstag in einem 32-seitigen Vergleich abgeschlossen
Die Klage der US-amerikanischen Federal Trade Commission (FTC) von 2017 gegen D-Link wurde endlich beendet. Die US-Behörden warfen dem renommierten taiwanesischen Hersteller von Netzwerkhardware vor, nicht seine Geräte angemessen zu schützen und die Warnungen vor den kritischsten Software-Schwachstellen zu ignorieren berichtet.
Laut der ursprünglichen Beschwerde, die 2017 veröffentlicht wurde, ist D-Link mehrfach gescheitert:[1]
Die Beklagten haben es versäumt, angemessene Schritte zum Schutz ihrer Router und ihres geistigen Eigentums zu unternehmenKameras vor allgemein bekannten und vernünftigerweise vorhersehbaren Risiken eines unbefugten Zugriffs, einschließlich durch Versäumnis Schutz vor Fehlern, die das Open Web Application Security Project bewertet hatzu den kritischsten und am weitesten verbreiteten Sicherheitslücken in Webanwendungen seit mindestens 2007.
Die Aktionen des Hardwareherstellers gefährdeten die Privatsphäre und die Online-Sicherheit von Millionen von US-Bürgern, da Router und Kameras im ganzen Land anfällig für Cyberangriffe waren.
Dem führenden IoT-Hersteller wurde vorgeworfen, in seiner Kamerasoftware hartcodierte und leicht zu erratende Zugangsdaten zu verwenden, und behauptete, die Hardware sei absolut sicher vor unbefugtem Eindringen und Speichern der Anmeldedaten für die mobile App im Klartext sowie das Versäumnis, die Geräte vor bekannten. zu schützen Schwachstellen.
Infolgedessen hat D-Link zugestimmt, neue Sicherheitsmaßnahmen zu implementieren sowie notwendige Änderungen an seiner Herstellung, Dokumentation, Sicherheitsprüfung und anderen Prozessen vorzunehmen.
Umfassendes Software-Sicherheitsprogramm wird 20 Jahre dauern
Um die Situation zu beheben, war D-Link gezwungen, vielen von der FTC festgelegten Bedingungen zuzustimmen, einschließlich der Teilnahme am Software-Sicherheitsprogramm, das mindestens 20 Jahre dauern soll:[2]
ES WIRD ANGEORDNET, dass die Beklagte für einen Zeitraum von zwanzig (20) Jahren nach Eingang dieser Verfügung eine umfassende Softwaresicherheit weiterführt oder einrichtet und implementiert und aufrechterhält Programm („Software-Sicherheitsprogramm“), das zum Schutz der Sicherheit seiner abgedeckten Geräte dient, es sei denn, die Beklagte stellt die Vermarktung, den Vertrieb oder den Verkauf von abgedeckten Geräten ein Geräte.
Zu den neuen Aufgaben des IoT-Herstellers gehören:
- Stellen Sie engagierte Mitarbeiter ein, die die Inhalte des Programms über die Jahre hinweg pflegen, bewerten und schreiben;
- Planung von Sicherheitsprozessen und Testen von Software auf Schwachstellen vor der Veröffentlichung neuer Geräte;
- Durchführen einer Bedrohungsanalyse, um interne und externe Risiken im Zusammenhang mit der Software in den hergestellten Geräten des Unternehmens zu identifizieren;
- Einrichten automatischer Firmware-Updates;
- Laufende Schulungen für Mitarbeiter und Lieferanten, die für die Entwicklung und Überprüfung von Software für die produzierte Hardware usw. verantwortlich sind.
Darüber hinaus hat D-Link zugestimmt, sich in den nächsten zehn Jahren alle zwei Jahre umfangreichen Audits zu unterziehen, um die Sicherheits-Compliance-Zertifizierung zu erhalten. Die Dokumentation dieser Audits muss auch der US Federal Trade Commission für die nächsten fünf Jahre vorgelegt werden.
D-Link hat die Änderungen angenommen und dem Vergleich zugestimmt
Es ist klar, dass D-Link seine Geräte und viele Benutzer nicht vor Cyberangriffen schützte, und in den letzten 2,5 Jahren haben Cyberkriminelle die Ausrutscher der Hersteller in großem Umfang missbraucht.
Im Juni letzten Jahres gelang es Satori-Botnet-Autoren, kritische Fehler bei der Codeausführung in D-Link-Geräten auszunutzen, die von Verizon und anderen ISP-Benutzern verwendet wurden.[3] Im Juli 2018 gelang es Angreifern, das von D-Link bereitgestellte Sicherheitszertifikat zu stehlen, das es ihnen ermöglichte, Malware auf Tausende von Geräten zu übertragen.[4] Dadurch könnten Hacker Passwörter stehlen und das Gerät über die Hintertür aus der Ferne steuern.
D-Link stimmte dem Vergleich zu, da John Vecchione, CEO und leitender Prozessanwalt von D-Link, die folgenden Gedanken äußerte:[5]
Dieser Fall wird nachhaltige Auswirkungen haben und hoffentlich die öffentliche Ordnung in den wichtigen Bereichen Technologie, Datensicherheit und Datenschutz positiv beeinflussen. Die Zurückweisung des Anspruchs der Klage auf „Unlauterkeit“ durch das Gericht, weil es nicht gelungen ist, einen tatsächlichen Verbraucherschaden geltend zu machen, wird die Bemühungen der FTC hoffentlich wieder auf Praktiken konzentrieren die tatsächlich identifizierbare Verbraucher verletzen und Technologieunternehmen die zusätzliche Sicherheit bieten, die für erlaubnislose und sich entwickelnde. erforderlich ist Innovation.