D-Link stemde ermee in zijn systeembeveiliging te verbeteren als onderdeel van de FTC-schikking
De rechtszaak van de Amerikaanse Federal Trade Commission (FTC) tegen D-Link uit 2017 kwam eindelijk tot een einde. De Amerikaanse autoriteiten beschuldigden de spraakmakende Taiwanese fabrikant van netwerkhardware van niet haar apparaten adequaat te beschermen en de waarschuwingen voor de meest kritieke softwarekwetsbaarheid te negeren rapporten.
Volgens de oorspronkelijke klacht die in 2017 werd gepubliceerd, heeft D-Link meerdere keren gefaald:[1]
Beklaagden hebben geen redelijke stappen ondernomen om hun routers en IP te beschermencamera's tegen algemeen bekende en redelijkerwijs te voorziene risico's van ongeoorloofde toegang, waaronder: door er niet in te slagen beschermen tegen fouten die het Open Web Application Security Project heeft gerangschiktbehoren tot de meest kritieke en wijdverbreide kwetsbaarheden in webtoepassingen sinds ten minste 2007.
De acties van de hardwaremaker brachten de privacy en online veiligheid van miljoenen Amerikaanse burgers in gevaar, aangezien gebruikers van routers en camera's in het hele land kwetsbaar waren voor cyberaanvallen.
De toonaangevende IoT-fabrikant werd beschuldigd van het gebruik van hard-gecodeerde en gemakkelijk te raden referenties in zijn camerasoftware en beweerde dat de hardware volkomen veilig is tegen ongeoorloofde indringers en het opslaan van inloggegevens voor mobiele apps in platte tekst, naast het niet beveiligen van de apparaten tegen bekende kwetsbaarheden.
Als gevolg hiervan stemde D-Link ermee in om nieuwe beveiligingsmaatregelen te implementeren en de nodige wijzigingen op te nemen in de productie, documentatie, beveiligingstests en andere processen.
Het uitgebreide softwarebeveiligingsprogramma gaat 20 jaar mee
Om de situatie te verhelpen, moest D-Link instemmen met veel voorwaarden die door de FTC zijn gesteld, waaronder het toetreden tot het softwarebeveiligingsprogramma dat minimaal 20 jaar zal duren:[2]
WORDT BESCHREVEN dat gedaagde gedurende een periode van twintig (20) jaar na inwerkingtreding van dit bevel, door zal gaan met of het opzetten en implementeren en onderhouden van een uitgebreide softwarebeveiliging programma (“Softwarebeveiligingsprogramma”) dat is ontworpen om bescherming te bieden voor de beveiliging van zijn Gedekte Apparaten, tenzij Verweerder stopt met het op de markt brengen, distribueren of verkopen van Gedekte apparaten apparaten.
Enkele van de nieuwe verantwoordelijkheden van de IoT-fabrikant zijn:
- Zorg voor toegewijde medewerkers die door de jaren heen de inhoud van het programma onderhouden, beoordelen en schrijven;
- Planning van beveiligingsprocessen en het testen van software op kwetsbaarheden voordat nieuwe apparaten worden uitgebracht;
- Het uitvoeren van dreigingsanalyses om interne en externe risico's te identificeren die verband houden met de software in de gefabriceerde apparaten van het bedrijf;
- Automatische firmware-updates instellen;
- Doorlopende training voor werknemers en leveranciers die verantwoordelijk zijn voor de ontwikkeling en beoordeling van software voor de geproduceerde hardware, enz.
Bovendien stemde D-Link ermee in om de komende tien jaar om de twee jaar uitgebreide audits te ondergaan om de certificering voor beveiligingscompliance te behalen. De documentatie van deze audits moet de komende vijf jaar ook aan de Amerikaanse Federal Trade Commission worden verstrekt.
D-Link omarmde de wijzigingen en stemde in met de schikking
Het is duidelijk dat de D-Link er niet in is geslaagd zijn apparaten te beschermen, net als veel gebruikers tegen cyberaanvallen, en in de afgelopen 2,5 jaar hebben cybercriminelen op grote schaal misbruik gemaakt van de fouten van fabrikanten.
In juni vorig jaar slaagden Satori botnet-auteurs erin om kritieke code-uitvoeringsfouten te misbruiken in D-Link-apparaten die werden gebruikt door Verizon en andere ISP-gebruikers.[3] In juli 2018 slaagden dreigingsactoren erin het door D-Link verstrekte beveiligingscertificaat te stelen, waardoor ze malware naar duizenden apparaten konden pushen.[4] Hierdoor konden hackers wachtwoorden stelen en het apparaat op afstand bedienen via de achterdeur.
D-Link stemde in met de schikking, aangezien John Vecchione, de CEO en hoofdprocesadvocaat voor D-Link, de volgende gedachten uitte:[5]
Deze zaak zal een blijvende impact hebben en, naar we hopen, een positieve invloed hebben op het openbare beleid op de belangrijke gebieden van technologie, gegevensbeveiliging en privacy. De afwijzing door de rechtbank van de vordering tot 'oneerlijkheid' van de klacht wegens het niet aanvoeren van daadwerkelijke schade aan de consument, zal hopelijk de inspanningen van FTC opnieuw richten op praktijken die daadwerkelijk identificeerbare consumenten verwonden, waardoor technologiebedrijven extra zekerheid krijgen die nodig is voor toestemmingsloze en evoluerende innovatie.