डी-लिंक एफटीसी निपटान के एक भाग के रूप में अपनी सिस्टम सुरक्षा में सुधार करने के लिए सहमत हुआ
डी-लिंक के खिलाफ 2017 यूएस फेडरल ट्रेड कमिशन (एफटीसी) का मुकदमा आखिरकार समाप्त हो गया। अमेरिकी अधिकारियों ने हाई-प्रोफाइल ताइवानी नेटवर्किंग हार्डवेयर निर्माता पर not. का आरोप लगाया अपने उपकरणों की पर्याप्त रूप से सुरक्षा करना और सबसे महत्वपूर्ण सॉफ़्टवेयर भेद्यता की चेतावनियों को अनदेखा करना रिपोर्ट।
2017 में प्रकाशित मूल शिकायत के अनुसार, डी-लिंक कई मौकों पर विफल रहा:[1]
प्रतिवादी अपने राउटर और आईपी की सुरक्षा के लिए उचित कदम उठाने में विफल रहे हैंअनधिकृत पहुंच के व्यापक रूप से ज्ञात और यथोचित पूर्वाभास वाले जोखिमों से कैमरे, जिनमें शामिल हैं: असफल होने से ओपन वेब एप्लीकेशन सिक्योरिटी प्रोजेक्ट द्वारा रैंक की गई खामियों से बचाव करेंकम से कम 2007 के बाद से सबसे महत्वपूर्ण और व्यापक वेब एप्लिकेशन कमजोरियों में से एक।
हार्डवेयर निर्माता की कार्रवाइयों ने लाखों अमेरिकी नागरिकों की गोपनीयता और ऑनलाइन सुरक्षा को खतरे में डाल दिया, क्योंकि पूरे देश में राउटर और कैमरा उपयोगकर्ता साइबर हमलों की चपेट में थे।
अग्रणी IoT निर्माता पर अपने कैमरा सॉफ़्टवेयर में हार्ड-कोडेड और आसानी से अनुमान लगाने योग्य क्रेडेंशियल्स का उपयोग करने का आरोप लगाया गया था, यह दावा करते हुए कि हार्डवेयर पूरी तरह से सुरक्षित है अनधिकृत घुसपैठ से और मोबाइल ऐप लॉगिन विवरण को सादे पाठ में संग्रहीत करने के अलावा, जाने-माने उपकरणों से उपकरणों को सुरक्षित करने में विफल रहने के अलावा कमजोरियां।
नतीजतन, डी-लिंक नए सुरक्षा उपायों को लागू करने के साथ-साथ इसके निर्माण, प्रलेखन, सुरक्षा परीक्षण और अन्य प्रक्रियाओं में आवश्यक परिवर्तन करने के लिए सहमत हो गया।
व्यापक सॉफ्टवेयर सुरक्षा कार्यक्रम 20 वर्षों तक चलेगा
स्थिति को सुधारने के लिए, डी-लिंक को एफटीसी द्वारा निर्धारित कई शर्तों से सहमत होने के लिए मजबूर होना पड़ा, जिसमें सॉफ्टवेयर सुरक्षा कार्यक्रम में प्रवेश करना शामिल है जो कम से कम 20 वर्षों तक चलने के लिए निर्धारित है:[2]
यह आदेश दिया जाता है कि प्रतिवादी, इस आदेश के प्रवेश के बाद बीस (20) वर्षों की अवधि के लिए, एक व्यापक सॉफ़्टवेयर सुरक्षा को जारी रखेगा या स्थापित करेगा और कार्यान्वित करेगा और बनाए रखेगा। प्रोग्राम ("सॉफ़्टवेयर सुरक्षा कार्यक्रम") जो अपने कवर किए गए उपकरणों की सुरक्षा के लिए सुरक्षा प्रदान करने के लिए डिज़ाइन किया गया है, जब तक कि प्रतिवादी किसी भी कवर किए गए किसी भी कवर का विपणन, वितरण या बिक्री बंद नहीं करता है उपकरण।
IoT निर्माता की कुछ नई जिम्मेदारियों में शामिल हैं:
- पूरे वर्ष कार्यक्रम के लिए सामग्री को बनाए रखने, मूल्यांकन करने और लिखने के लिए समर्पित कर्मचारियों की स्थापना करें;
- नए उपकरण के जारी होने से पहले सुरक्षा प्रक्रियाओं की योजना बनाना और कमजोरियों के लिए परीक्षण सॉफ्टवेयर;
- कंपनी के निर्मित उपकरणों के अंदर सॉफ्टवेयर से संबंधित आंतरिक और बाहरी जोखिमों की पहचान करने के लिए खतरे का आकलन करना;
- स्वचालित फर्मवेयर अपडेट सेट करना;
- उत्पादित हार्डवेयर आदि के लिए सॉफ्टवेयर के विकास और समीक्षा के लिए जिम्मेदार कर्मचारियों और विक्रेताओं के लिए चल रहे प्रशिक्षण।
इसके अतिरिक्त, डी-लिंक सुरक्षा अनुपालन प्रमाणन तक पहुंचने के लिए अगले दस वर्षों के लिए हर दो साल में व्यापक ऑडिट से गुजरने पर भी सहमत हुआ। अगले पांच वर्षों के लिए इन लेखा परीक्षा के दस्तावेज अमेरिकी संघीय व्यापार आयोग को भी उपलब्ध कराए जाने चाहिए।
डी-लिंक ने परिवर्तनों को स्वीकार किया और समझौते के लिए सहमत हुए
यह स्पष्ट है कि डी-लिंक साइबर हमलों से कई उपयोगकर्ताओं के साथ-साथ अपने उपकरणों की रक्षा करने में विफल रहा, और, पिछले 2.5 वर्षों के दौरान, साइबर अपराधी निर्माता के स्लिपअप का व्यापक रूप से दुरुपयोग कर रहे थे।
पिछले साल जून में, सटोरी बॉटनेट लेखक डी-लिंक उपकरणों में महत्वपूर्ण कोड निष्पादन दोष का फायदा उठाने में कामयाब रहे, जिनका उपयोग वेरिज़ोन और अन्य आईएसपी उपयोगकर्ताओं द्वारा किया गया था।[3] जुलाई 2018 में, धमकी देने वाले अभिनेता डी-लिंक प्रदान किए गए सुरक्षा प्रमाणपत्र को चुराने में कामयाब रहे, जिससे उन्हें हजारों उपकरणों पर मैलवेयर भेजने की अनुमति मिली।[4] नतीजतन, हैकर्स पासवर्ड चुरा सकते हैं और पिछले दरवाजे से डिवाइस को दूरस्थ रूप से नियंत्रित कर सकते हैं।
डी-लिंक ने समझौते के साथ सहमति व्यक्त की, क्योंकि डी-लिंक के सीईओ और लीड ट्रायल वकील जॉन वेक्चिओन ने निम्नलिखित विचार व्यक्त किए:[5]
इस मामले का स्थायी प्रभाव होगा और हमें उम्मीद है कि प्रौद्योगिकी, डेटा सुरक्षा और गोपनीयता के महत्वपूर्ण क्षेत्रों में सार्वजनिक नीति को सकारात्मक रूप से आकार देगा। वास्तविक उपभोक्ता नुकसान की वकालत करने में विफलता के लिए शिकायत के 'अनुचित' दावे को अदालत द्वारा खारिज करने से एफटीसी के प्रयासों पर फिर से ध्यान केंद्रित करने की उम्मीद है। जो वास्तव में पहचाने जाने योग्य उपभोक्ताओं को घायल करता है, प्रौद्योगिकी कंपनियों को अनुमतिहीन और विकसित होने के लिए आवश्यक अतिरिक्त निश्चितता प्रदान करता है नवाचार।