D-Linkは、FTC和解の一環として、システムのセキュリティを向上させることに合意しました
D-Linkに対する2017年の米国連邦取引委員会(FTC)の訴訟はついに終結しました。 米国当局は、有名な台湾のネットワークハードウェアメーカーが デバイスを適切に保護し、最も重大なソフトウェアの脆弱性の警告を無視する レポート。
2017年に公開された最初の苦情によると、D-Linkは何度も失敗しました。[1]
被告は、ルーターとIPを保護するための合理的な措置を講じることができませんでした広く知られており、合理的に予見可能な不正アクセスのリスクからのカメラ。 失敗することによって Open Web Application SecurityProjectがランク付けした欠陥から保護する少なくとも2007年以降、最も重大で広範囲に及ぶWebアプリケーションの脆弱性の1つです。
全国のルーターとカメラのユーザーがサイバー攻撃に対して脆弱であったため、ハードウェアメーカーの行動により、何百万もの米国市民のプライバシーとオンラインの安全性が危険にさらされました。
大手IoTメーカーは、ハードウェアが完全に安全であると主張して、カメラソフトウェアでハードコードされた簡単に推測できるクレデンシャルを使用していると非難されました 不正な侵入やモバイルアプリのログイン詳細のプレーンテキストへの保存に加えて、有名なデバイスからのデバイスの保護に失敗することから 脆弱性。
その結果、D-Linkは、製造、文書化、セキュリティテスト、およびその他のプロセスに必要な変更を含めるだけでなく、新しいセキュリティ対策を実装することに同意しました。
包括的なソフトウェアセキュリティプログラムは20年間続きます
状況を改善するために、D-Linkは、少なくとも20年間続くように設定されているソフトウェアセキュリティプログラムへの参加を含む、FTCによって設定された多くの条件に同意することを余儀なくされました。[2]
被告は、この命令の入力後20年間、包括的なソフトウェアセキュリティを継続するか、確立および実装し、維持するように命令されています。 被告が対象デバイスの販売、配布、または販売を中止しない限り、対象デバイスのセキュリティを保護するように設計されたプログラム(「ソフトウェアセキュリティプログラム」) デバイス。
IoTメーカーの新しい責任には次のものがあります。
- 何年にもわたってプログラムの内容を維持、評価、執筆する専任の従業員を設立する。
- 新しいデバイスがリリースされる前に、セキュリティプロセスを計画し、ソフトウェアの脆弱性をテストします。
- 脅威評価を実行して、会社で製造されたデバイス内のソフトウェアに関連する内部および外部のリスクを特定します。
- 自動ファームウェアアップデートの設定。
- 製造されたハードウェアなどのソフトウェアの開発とレビューを担当する従業員とベンダー向けの継続的なトレーニング。
さらに、D-Linkは、セキュリティコンプライアンス認証を取得するために、今後10年間、2年ごとに広範な監査を受けることに同意しました。 これらの監査の文書は、今後5年間、米国連邦取引委員会にも提出する必要があります。
D-Linkは変更を受け入れ、和解に同意しました
D-Linkがデバイスと多くのユーザーをサイバー攻撃から保護できなかったことは明らかであり、過去2。5年間、サイバー犯罪者はメーカーのスリップアップを広く悪用していました。
昨年6月、Satoriボットネットの作成者は、Verizonや他のISPユーザーが使用していたD-Linkデバイスの重大なコード実行の欠陥を悪用することに成功しました。[3] 2018年7月、脅威アクターはD-Linkが提供するセキュリティ証明書を盗むことに成功し、マルウェアを数千台のデバイスにプッシュできるようになりました。[4] その結果、ハッカーはパスワードを盗み、バックドアを介してデバイスをリモートで制御する可能性があります。
D-LinkのCEO兼主任弁護士であるJohnVecchioneが次の考えを表明したため、D-Linkは和解に同意しました。[5]
この訴訟は永続的な影響を及ぼし、テクノロジー、データセキュリティ、プライバシーの重要な分野で公共政策を積極的に形作ることを願っています。 実際の消費者への危害を訴えなかったという訴状の「不公正」な主張を裁判所が却下することで、FTCの取り組みが慣行に再び集中することを願っています。 それは実際に識別可能な消費者を傷つけ、テクノロジー企業に許可のない進化するために必要な追加の確実性を提供します 革新。