A D-Link vállalja, hogy javítja biztonságát az FTC-egyezségben

Vegyes CikkekDec 20, 2021
click fraud protection

A D-Link beleegyezett abba, hogy az FTC-egyezség részeként javítja rendszerbiztonságát

D-Link elszámolásA D-Link elleni 2017-es per kedden 32 oldalas megegyezéssel zárult

Véget ért a 2017-es amerikai Szövetségi Kereskedelmi Bizottság (FTC) per a D-Link ellen. Az amerikai hatóságok azzal vádolták a nagy horderejű tajvani hálózati hardvergyártót, hogy nem megfelelően védi eszközeit, és figyelmen kívül hagyja a legkritikusabb szoftversérülékenységre vonatkozó figyelmeztetéseket jelentéseket.

A 2017-ben közzétett eredeti panasz szerint a D-Link többször is megbukott:[1]

Az alperesek nem tettek ésszerű lépéseket útválasztóik és IP-címeik védelmérekamerák az illetéktelen hozzáférés széles körben ismert és ésszerűen előrelátható kockázataitól, beleértve elmulasztásával védelmet nyújt azokkal a hibákkal szemben, amelyeket az Open Web Application Security Project rangsorolta legkritikusabb és legelterjedtebb webalkalmazás-sérülékenységek közé tartozik legalább 2007 óta.

A hardvergyártó intézkedései több millió amerikai állampolgár magánéletét és online biztonságát veszélyeztették, mivel a routerek és kamerák felhasználói országszerte kiszolgáltatottak voltak a kibertámadásoknak.

A vezető IoT-gyártót azzal vádolták, hogy keményen kódolt és könnyen kitalálható hitelesítő adatokat használt a kameraszoftverében, azt állítva, hogy a hardver teljesen biztonságos. az illetéktelen behatolásoktól és a mobilalkalmazások bejelentkezési adatainak egyszerű szövegben történő tárolásától, valamint az eszközök védelmének elmulasztásától a jól ismert sebezhetőségek.

Ennek eredményeként a D-Link beleegyezett az új biztonsági intézkedések bevezetésébe, valamint a gyártási, dokumentációs, biztonsági tesztelési és egyéb folyamatok szükséges módosításába.

Az átfogó szoftverbiztonsági program 20 évig fog tartani

A helyzet orvoslása érdekében a D-Link kénytelen volt elfogadni az FTC által meghatározott számos feltételt, beleértve a legalább 20 évre szóló Szoftverbiztonsági Programba való belépést is:[2]

ELRENDELT, hogy az alperes a jelen végzés elfogadását követő húsz (20) évig folytassa vagy hozzon létre, hozzon létre és tartson fenn egy átfogó szoftverbiztonságot. program („Szoftverbiztonsági program”), amelynek célja, hogy védelmet nyújtson a Jelen Eszközei biztonsága érdekében, kivéve, ha az alperes felhagy a lefedett eszközök forgalmazásával, terjesztésével vagy értékesítésével. Eszközök.

Az IoT-gyártó néhány új feladatai közé tartozik:

  • Elkötelezett alkalmazottak létrehozása, akik az évek során karbantartják, értékelik és megírják a program tartalmát;
  • Biztonsági folyamatok tervezése és szoftverek tesztelése a sebezhetőségekre az új eszközök megjelenése előtt;
  • Fenyegetésértékelés elvégzése a vállalat által gyártott eszközökön belüli szoftverekkel kapcsolatos belső és külső kockázatok azonosítására;
  • Automatikus firmware-frissítések beállítása;
  • Folyamatos képzés az előállított hardverhez szükséges szoftverek fejlesztéséért és felülvizsgálatáért felelős alkalmazottak és szállítók számára, stb.

Ezenkívül a D-Link beleegyezett abba is, hogy a következő tíz évben kétévente kiterjedt auditálásnak vetik alá a biztonsági megfelelőségi tanúsítvány megszerzése érdekében. Ezen auditok dokumentációját a következő öt évre az Egyesült Államok Szövetségi Kereskedelmi Bizottságának is át kell adni.

A D-Link elfogadta a változtatásokat és beleegyezett az egyezségbe

Nyilvánvaló, hogy a D-Link nem tudta megvédeni eszközeit és sok felhasználót a kibertámadásoktól, és az elmúlt 2,5 évben a kiberbûnözõk széles körben visszaéltek a gyártói csúsztatásokkal.

Tavaly júniusban a Satori botnet szerzőinek sikerült kihasználniuk a Verizon és más internetszolgáltatók által használt D-Link eszközök kritikus kódvégrehajtási hibáját.[3] 2018 júliusában a fenyegetés szereplőinek sikerült ellopniuk a D-Link által biztosított biztonsági tanúsítványt, amely lehetővé tette számukra, hogy kártevőket küldjenek több ezer eszközre.[4] Ennek eredményeként a hackerek jelszavakat lophatnak, és a hátsó ajtón keresztül távolról irányíthatják az eszközt.

A D-Link egyetértett az egyezséggel, mivel John Vecchione, a D-Link vezérigazgatója és ügyvédje a következő gondolatokat fejezte ki:[5]

Ez az eset tartós hatással lesz, és reméljük, pozitívan alakítja a közrendet a technológia, az adatbiztonság és a magánélet fontos területein. Ha a Bíróság elutasítja a panasz „tisztességtelenségi” keresetét a fogyasztók tényleges kárára való hivatkozás elmulasztása miatt, remélhetőleg az FTC erőfeszítései a gyakorlatokra összpontosítanak. amelyek ténylegesen megsértik az azonosítható fogyasztókat, további biztonságot nyújtva a technológiai vállalatok számára, amelyek szükségesek az engedély nélküli és fejlődő innováció.