D-Link gikk med på å forbedre systemsikkerheten som en del av FTC-oppgjøret
2017-søksmålet mot D-Link ble avsluttet i et forlik på 32 sider tirsdag
Den amerikanske Federal Trade Commission (FTC)-søksmålet i 2017 mot D-Link nådde endelig en slutt. Amerikanske myndigheter anklaget den høyprofilerte taiwanske nettverksmaskinvareprodusenten for ikke tilstrekkelig beskytte enhetene sine og ignorere advarslene om de mest kritiske programvaresårbarhetene rapporter.
I følge den opprinnelige klagen publisert i 2017, mislyktes D-Link ved flere anledninger:[1]
Tiltalte har unnlatt å ta rimelige skritt for å beskytte sine rutere og IPkameraer fra allment kjente og rimelig forutsigbare risikoer for uautorisert tilgang, inkludert ved å unnlate beskytte mot feil som Open Web Application Security Project har rangertblant de mest kritiske og utbredte sårbarhetene i nettapplikasjoner siden minst 2007.
Handlingene til maskinvareprodusenten setter millioner av amerikanske borgere personvern og nettsikkerhet i fare, ettersom brukere av rutere og kameraer over hele landet var sårbare for cyberangrep.
Den ledende IoT-produsenten ble anklaget for å bruke hardkodet og lett gjettelig legitimasjon i kameraprogramvaren sin, og hevdet at maskinvaren er helt trygg fra uautoriserte inntrengninger og lagring av mobilapp-påloggingsdetaljer i ren tekst, i tillegg til å unnlate å sikre enhetene fra velkjente sårbarheter.
Som et resultat gikk D-Link med på å implementere nye sikkerhetstiltak, samt inkludere nødvendige endringer i produksjon, dokumentasjon, sikkerhetstesting og andre prosesser.
Omfattende programvaresikkerhetsprogram vil vare i 20 år
For å rette opp situasjonen ble D-Link tvunget til å godta mange betingelser satt av FTC, inkludert å gå inn i programvaresikkerhetsprogrammet som er satt til å vare i minst 20 år:[2]
DET BESTILLES at saksøkte i en periode på tjue (20) år etter inntreden av denne ordren skal fortsette med eller etablere og implementere og vedlikeholde en omfattende programvaresikkerhet program ("Programvaresikkerhetsprogram") som er utformet for å gi beskyttelse for sikkerheten til sine Dekkede Enheter, med mindre saksøkte slutter å markedsføre, distribuere eller selge noen Dekket Enheter.
Noen av de nye ansvarsområdene til IoT-produsenten inkluderer:
- Etablere dedikerte ansatte som vedlikeholder, vurderer og skriver innholdet for programmet gjennom årene;
- Planlegging av sikkerhetsprosesser og testing av programvare for sårbarheter før nye enhetsutgivelser;
- Utføre trusselvurdering for å identifisere interne og eksterne risikoer knyttet til programvaren inne i selskapets produserte enheter;
- Sette opp automatiske fastvareoppdateringer;
- Løpende opplæring for ansatte og leverandører med ansvar for utvikling og gjennomgang av programvare for produsert maskinvare mv.
I tillegg gikk D-Link også med på å gjennomgå omfattende revisjoner annethvert år de neste ti årene for å oppnå sikkerhetssertifiseringen. Dokumentasjonen for disse revisjonene må også leveres til US Federal Trade Commission for de neste fem årene.
D-Link omfavnet endringene og gikk med på forliket
Det er tydelig at D-Link ikke klarte å beskytte enhetene sine, sammen med mange brukere mot cyberangrep, og i løpet av de siste 2,5 årene har cyberkriminelle misbrukt produsentens utglidninger.
I juni i fjor klarte Satoris botnettforfattere å utnytte kritiske kodeutførelsesfeil i D-Link-enheter som ble brukt av Verizon og andre ISP-brukere.[3] I juli 2018 klarte trusselaktører å stjele D-Link-levert sikkerhetssertifikat, som tillot dem å presse skadevare til tusenvis av enheter.[4] Som et resultat kunne hackere stjele passord og fjernstyre enheten via bakdøren.
D-Link var enig i forliket, da John Vecchione, administrerende direktør og ledende rettssaksrådgiver for D-Link, uttrykte følgende tanker:[5]
Denne saken vil ha en varig innvirkning, og vi håper å forme offentlig politikk positivt på viktige områder teknologi, datasikkerhet og personvern. Domstolens avvisning av klagens "urettferdighetskrav" for unnlatelse av å påberope seg faktisk forbrukerskade vil forhåpentligvis refokusere FTCs innsats på praksis som faktisk skader identifiserbare forbrukere, og gir teknologiselskaper ytterligere sikkerhet som er nødvendig for tillatelsesløse og utviklende innovasjon.