D-Link מסכימה לשפר את האבטחה שלה בהסדר ה-FTC

MiscellaneaDec 20, 2021

D-Link הסכימה לשפר את אבטחת המערכות שלה כחלק מהסדר ה-FTC

הסדר D-Linkהתביעה לשנת 2017 נגד D-Link הסתיימה בפשרה של 32 עמודים ביום שלישי

התביעה של ועדת הסחר הפדרלית של ארה"ב (FTC) 2017 נגד D-Link הגיעה סוף סוף לסיומה. הרשויות בארה"ב האשימו את יצרנית חומרת הרשת הטיוואנית בעלת הפרופיל הגבוה בכך שלא הגנה נאותה על המכשירים שלה והתעלמות מהאזהרות על רוב פגיעות התוכנה הקריטיות דיווחים.

על פי התלונה המקורית שפורסמה ב-2017, D-Link נכשל במספר הזדמנויות:[1]

הנתבעים לא נקטו בצעדים סבירים כדי להגן על הנתבים וה-IP שלהםמצלמות מסיכונים ידועים וצפוי סביר של גישה לא מורשית, כולל בכך שלא הצליח להגן מפני פגמים שפרויקט האבטחה של אפליקציות אינטרנט פתוחות דירגבין הפגיעויות הקריטיות והנפוצות ביותר של יישומי אינטרנט מאז 2007 לפחות.

הפעולות של יצרנית החומרה מסכנים מיליוני אזרחים אמריקאים את הפרטיות והבטיחות המקוונת, שכן משתמשי נתבים ומצלמות בכל רחבי המדינה היו חשופים להתקפות סייבר.

יצרנית ה-IoT המובילה הואשמה בשימוש באישורים מקודדים וניתנים בקלות לניחוש בתוכנת המצלמה שלה, בטענה שהחומרה בטוחה לחלוטין מפריצות לא מורשות ואחסון פרטי התחברות לאפליקציה לנייד בטקסט הפשוט, בנוסף לאיבטחת המכשירים מפני ידועים פגיעויות.

כתוצאה מכך, D-Link הסכימה ליישם אמצעי אבטחה חדשים, כמו גם לכלול שינויים נחוצים בייצור, בתיעוד, בדיקות אבטחה ותהליכים אחרים שלה.

תוכנית אבטחת תוכנה מקיפה תימשך 20 שנה

על מנת לתקן את המצב, D-Link נאלצה להסכים לתנאים רבים שנקבעו על ידי ה-FTC, כולל כניסה לתוכנית אבטחת התוכנה שאמורה להימשך לפחות 20 שנה:[2]

מצווה על הנתבעת, לתקופה של עשרים (20) שנה לאחר כניסת צו זה, להמשיך או להקים וליישם, ולתחזק, אבטחת תוכנה מקיפה. תוכנית ("תוכנית אבטחת תוכנה") שנועדה לספק הגנה על אבטחת המכשירים המכוסים שלה, אלא אם הנתבעת תפסיק לשווק, להפיץ או למכור כל מכוסה התקנים.

חלק מהאחריות החדשה של יצרן ה-IoT כוללות:

  • להקים עובדים מסורים לתחזוקה, הערכה וכתיבת התכנים לתכנית לאורך השנים;
  • תכנון תהליכי אבטחה ובדיקת תוכנות לאיתור נקודות תורפה לפני שחרור מכשירים חדשים;
  • ביצוע הערכת איומים לזיהוי סיכונים פנימיים וחיצוניים הקשורים לתוכנה בתוך המכשירים המיוצרים של החברה;
  • הגדרת עדכוני קושחה אוטומטיים;
  • הדרכות שוטפות לעובדים וספקים האחראים על פיתוח וסקירה של תוכנות לחומרה המיוצרת וכו'.

בנוסף, D-Link הסכימה גם לעבור ביקורות מקיפות כל שנתיים בעשר השנים הבאות על מנת להגיע לאישור תאימות האבטחה. התיעוד של ביקורות אלה חייב להיות מסופק גם לוועדת הסחר הפדרלית של ארה"ב למשך חמש השנים הבאות.

די-לינק אימצה את השינויים והסכימה להסדר

ברור שה-D-Link לא הצליח להגן על המכשירים שלו, יחד עם משתמשים רבים מפני התקפות סייבר, ובמהלך 2.5 השנים האחרונות, פושעי סייבר ניצלו באופן נרחב את ההטעיה של היצרן.

ביוני בשנה שעברה, מחברי הבוטנט של Satori הצליחו לנצל פגם קריטי בביצוע קוד במכשירי D-Link ששימשו את Verizon ומשתמשי ISP אחרים.[3] ביולי 2018, שחקני איומים הצליחו לגנוב את תעודת האבטחה שסיפקה D-Link, שאפשרה להם לדחוף תוכנות זדוניות לאלפי מכשירים.[4] כתוצאה מכך, האקרים יכלו לגנוב סיסמאות ולשלוט במכשיר מרחוק דרך הדלת האחורית.

D-Link הסכימה עם ההסדר, שכן ג'ון וקיון, המנכ"ל והיועץ המשפטי הראשי של D-Link, הביע את המחשבות הבאות:[5]

למקרה הזה תהיה השפעה מתמשכת, ואנו מקווים שיעצב בצורה חיובית את המדיניות הציבורית בתחומים החשובים של טכנולוגיה, אבטחת מידע ופרטיות. דחיית תביעת "חוסר ההגינות" של התלונה על ידי בית המשפט בגין אי טענה לפגיעה ממשית בצרכן תקווה למקד מחדש את מאמצי ה-FTC בפרקטיקות שלמעשה פוגעים בצרכנים שניתן לזהות, ומספקים לחברות טכנולוגיה ודאות נוספת הנחוצה לחסרי רשות ולהתפתח חדשנות.