D-Link setuju untuk meningkatkan keamanan sistemnya sebagai bagian dari penyelesaian FTC
Gugatan Komisi Perdagangan Federal AS (FTC) 2017 terhadap D-Link akhirnya berakhir. Pihak berwenang AS menuduh produsen perangkat keras jaringan terkemuka Taiwan tidak melindungi perangkatnya secara memadai dan mengabaikan peringatan kerentanan perangkat lunak yang paling kritis laporan.
Menurut keluhan asli yang diterbitkan pada tahun 2017, D-Link gagal pada beberapa kesempatan:[1]
Tergugat telah gagal untuk mengambil langkah-langkah yang wajar untuk melindungi router dan IP merekakamera dari risiko akses tidak sah yang diketahui secara luas dan wajar, termasuk: dengan gagal melindungi dari kelemahan yang telah diperingkat oleh Proyek Keamanan Aplikasi Web Terbukasalah satu kerentanan aplikasi web yang paling kritis dan tersebar luas setidaknya sejak 2007.
Tindakan pembuat perangkat keras itu membahayakan privasi jutaan warga AS dan keamanan online, karena pengguna router dan kamera di seluruh negeri rentan terhadap serangan dunia maya.
Pabrikan IoT terkemuka dituduh menggunakan kode keras dan kredensial yang mudah ditebak dalam perangkat lunak kameranya, mengklaim perangkat kerasnya sepenuhnya aman. dari intrusi yang tidak sah dan menyimpan detail login aplikasi seluler dalam teks biasa, selain gagal mengamankan perangkat dari yang terkenal kerentanan.
Akibatnya, D-Link setuju untuk menerapkan langkah-langkah keamanan baru, serta termasuk perubahan yang diperlukan untuk manufaktur, dokumentasi, pengujian keamanan, dan proses lainnya.
Program Keamanan Perangkat Lunak Komprehensif akan bertahan 20 tahun
Untuk memulihkan situasi, D-Link terpaksa menyetujui banyak persyaratan yang ditetapkan oleh FTC, termasuk memasuki Program Keamanan Perangkat Lunak yang diatur untuk bertahan setidaknya selama 20 tahun:[2]
DIPERINTAHKAN bahwa Tergugat, untuk jangka waktu dua puluh (20) tahun setelah masuknya Perintah ini, melanjutkan atau menetapkan dan menerapkan, dan memelihara, keamanan perangkat lunak yang komprehensif. program (“Program Keamanan Perangkat Lunak”) yang dirancang untuk memberikan perlindungan bagi keamanan Perangkat yang Tercakup, kecuali Tergugat berhenti memasarkan, mendistribusikan, atau menjual setiap Perangkat yang Tercakup Perangkat.
Beberapa tanggung jawab baru dari produsen IoT meliputi:
- Membentuk karyawan yang berdedikasi memelihara, menilai dan menulis isi program selama bertahun-tahun;
- Merencanakan proses keamanan dan menguji perangkat lunak untuk kerentanan sebelum rilis perangkat baru;
- Melakukan penilaian ancaman untuk mengidentifikasi risiko internal dan eksternal yang terkait dengan perangkat lunak di dalam perangkat produksi perusahaan;
- Menyiapkan pembaruan firmware otomatis;
- Pelatihan berkelanjutan untuk karyawan dan vendor yang bertanggung jawab untuk pengembangan dan peninjauan perangkat lunak untuk perangkat keras yang diproduksi, dll.
Selain itu, D-Link juga setuju untuk menjalani audit ekstensif setiap dua tahun selama sepuluh tahun ke depan untuk mencapai sertifikasi kepatuhan keamanan. Dokumentasi audit ini juga harus diberikan kepada Komisi Perdagangan Federal AS selama lima tahun ke depan.
D-Link menerima perubahan dan menyetujui penyelesaian
Jelas bahwa D-Link gagal melindungi perangkatnya, bersama dengan banyak pengguna dari serangan dunia maya, dan, selama 2,5 tahun terakhir, penjahat dunia maya secara luas menyalahgunakan kesalahan pabrikan.
Pada bulan Juni tahun lalu, penulis botnet Satori berhasil mengeksploitasi kelemahan eksekusi kode kritis di perangkat D-Link yang digunakan oleh Verizon dan pengguna ISP lainnya.[3] Pada Juli 2018, pelaku ancaman berhasil mencuri sertifikat keamanan yang diberikan D-Link, yang memungkinkan mereka untuk mendorong malware ke ribuan perangkat.[4] Akibatnya, peretas dapat mencuri kata sandi dan mengontrol perangkat dari jarak jauh melalui pintu belakang.
D-Link setuju dengan penyelesaian tersebut, sebagaimana John Vecchione, CEO dan penasihat pengadilan utama untuk D-Link, mengungkapkan pemikiran berikut:[5]
Kasus ini akan memiliki dampak yang bertahan lama dan, kami berharap, secara positif membentuk kebijakan publik di bidang penting teknologi, keamanan data, dan privasi. Penolakan Pengadilan atas klaim 'ketidakadilan' Pengaduan atas kegagalan untuk memohon kerugian konsumen yang sebenarnya diharapkan akan memfokuskan kembali upaya FTC pada praktik yang benar-benar melukai konsumen yang dapat diidentifikasi, memberi perusahaan teknologi kepastian tambahan yang diperlukan untuk tanpa izin dan berkembang inovasi.