D-Link는 FTC 합의의 일환으로 시스템 보안을 개선하기로 합의했습니다.
2017년 미국 연방거래위원회(FTC)가 D-Link를 상대로 한 소송이 마침내 끝이 났습니다. 미국 당국은 대만의 유명 네트워킹 하드웨어 제조업체를 장치를 적절하게 보호하고 가장 중요한 소프트웨어 취약성에 대한 경고를 무시합니다. 보고서.
2017년에 게시된 원래 불만 사항에 따르면 D-Link는 여러 번 실패했습니다.[1]
피고는 라우터와 IP를 보호하기 위한 합당한 조치를 취하지 않았습니다.다음을 포함하여 널리 알려지고 합리적으로 예측 가능한 무단 액세스 위험으로부터 카메라 실패함으로써 Open Web Application Security Project가 순위를 매긴 결함으로부터 보호적어도 2007년 이후 가장 중요하고 널리 퍼진 웹 애플리케이션 취약점 중 하나입니다.
하드웨어 제조업체의 행동은 미국 전역의 라우터와 카메라 사용자가 사이버 공격에 취약해지면서 수백만 명의 미국 시민의 개인 정보와 온라인 안전을 위험에 빠뜨렸습니다.
선도적인 IoT 제조업체는 하드웨어가 완전히 안전하다고 주장하면서 카메라 소프트웨어에 하드 코딩되고 쉽게 추측할 수 있는 자격 증명을 사용했다는 혐의를 받았습니다. 무단 침입으로부터 모바일 앱 로그인 세부 정보를 일반 텍스트로 저장하는 것 외에도 잘 알려진 정보로부터 장치를 보호하지 못합니다. 취약점.
결과적으로 D-Link는 제조, 문서화, 보안 테스트 및 기타 프로세스에 필요한 변경을 포함하여 새로운 보안 조치를 구현하는 데 동의했습니다.
포괄적인 소프트웨어 보안 프로그램은 20년 동안 지속됩니다.
상황을 시정하기 위해 D-Link는 최소 20년 동안 지속되도록 설정된 소프트웨어 보안 프로그램에 참여하는 것을 포함하여 FTC가 설정한 많은 조건에 동의해야 했습니다.[2]
피고는 이 명령을 입력한 후 20년 동안 포괄적인 소프트웨어 보안을 지속하거나 확립 및 구현 및 유지해야 합니다. 피고가 해당 장치의 마케팅, 배포 또는 판매를 중단하지 않는 한 해당 장치의 보안을 보호하도록 설계된 프로그램("소프트웨어 보안 프로그램") 장치.
IoT 제조업체의 새로운 책임 중 일부는 다음과 같습니다.
- 수년 동안 프로그램 내용을 유지, 평가 및 작성하는 전담 직원을 배치합니다.
- 새로운 장치가 출시되기 전에 보안 프로세스를 계획하고 소프트웨어에 취약성을 테스트합니다.
- 회사에서 제조한 장치 내부의 소프트웨어와 관련된 내부 및 외부 위험을 식별하기 위한 위협 평가 수행
- 자동 펌웨어 업데이트 설정
- 생산된 하드웨어 등의 소프트웨어 개발 및 검토를 담당하는 직원 및 공급업체에 대한 지속적인 교육
또한 디링크는 보안 컴플라이언스 인증을 받기 위해 향후 10년 동안 2년마다 광범위한 감사를 받기로 했다. 이러한 감사의 문서는 또한 향후 5년 동안 미국 연방 거래 위원회에 제공되어야 합니다.
D-Link는 변경 사항을 수용하고 합의에 동의했습니다.
D-Link가 사이버 공격으로부터 많은 사용자와 함께 장치를 보호하지 못했고 지난 2.5년 동안 사이버 범죄자들은 제조업체의 실수를 광범위하게 악용한 것이 분명합니다.
작년 6월 Satori 봇넷 작성자는 Verizon 및 기타 ISP 사용자가 사용하는 D-Link 장치의 중요한 코드 실행 결함을 악용했습니다.[3] 2018년 7월, 위협 행위자는 D-Link에서 제공한 보안 인증서를 훔쳐 수천 대의 장치에 악성 코드를 푸시할 수 있었습니다.[4] 결과적으로 해커는 암호를 훔치고 백도어를 통해 원격으로 장치를 제어할 수 있습니다.
D-Link의 CEO이자 수석 재판 고문인 John Vecchione은 다음과 같은 생각을 표현하면서 D-Link가 합의에 동의했습니다.[5]
이 사건은 지속적인 영향을 미칠 것이며 기술, 데이터 보안 및 개인 정보 보호의 중요한 영역에서 공공 정책을 긍정적으로 형성하기를 바랍니다. 실제 소비자 피해를 주장하지 못했다는 불만의 '불공정' 주장에 대한 법원의 기각은 FTC의 노력을 관행에 다시 집중할 수 있기를 바랍니다. 실제로 식별 가능한 소비자에게 피해를 입히고 기술 회사에 무허가 및 진화에 필요한 추가 확실성을 제공합니다. 혁신.