D-Link zgodził się na poprawę bezpieczeństwa swoich systemów w ramach rozliczenia FTC
Pozew sądowy amerykańskiej Federalnej Komisji Handlu (FTC) przeciwko firmie D-Link w 2017 r. wreszcie dobiegł końca. Władze USA oskarżyły znanego tajwańskiego producenta sprzętu sieciowego o nie odpowiednio chroniąc swoje urządzenia i ignorując ostrzeżenia o najbardziej krytycznych lukach w oprogramowaniu raporty.
Według pierwotnej skargi opublikowanej w 2017 r. D-Link wielokrotnie zawiódł:[1]
Pozwani nie podjęli rozsądnych kroków, aby chronić swoje routery i adres IPkamer przed powszechnie znanymi i racjonalnie przewidywalnymi zagrożeniami nieautoryzowanego dostępu, w tym przez nieumiejętność chronić przed lukami, które znalazły się w rankingu Open Web Application Security Projectwśród najbardziej krytycznych i najbardziej rozpowszechnionych luk w zabezpieczeniach aplikacji internetowych od co najmniej 2007 roku.
Działania producenta sprzętu zagrażają prywatności i bezpieczeństwu w Internecie milionów obywateli USA, ponieważ użytkownicy routerów i kamer w całym kraju byli narażeni na cyberataki.
Wiodący producent IoT został oskarżony o używanie zakodowanych na stałe i łatwych do odgadnięcia danych uwierzytelniających w swoim oprogramowaniu aparatu, twierdząc, że sprzęt jest całkowicie bezpieczny przed nieautoryzowanymi włamaniami i przechowywaniem danych logowania do aplikacji mobilnej w postaci zwykłego tekstu, a także niezabezpieczeniem urządzeń przed dobrze znanymi luki w zabezpieczeniach.
W rezultacie firma D-Link zgodziła się wdrożyć nowe środki bezpieczeństwa, a także wprowadzić niezbędne zmiany w produkcji, dokumentacji, testowaniu bezpieczeństwa i innych procesach.
Kompleksowy Program Bezpieczeństwa Oprogramowania potrwa 20 lat
Aby zaradzić tej sytuacji, D-Link został zmuszony do wyrażenia zgody na wiele warunków postawionych przez FTC, w tym przystąpienie do Programu Bezpieczeństwa Oprogramowania, który ma trwać co najmniej 20 lat:[2]
ZALECA SIĘ, aby Pozwany przez okres dwudziestu (20) lat po wejściu w życie niniejszego nakazu kontynuował lub ustanawiał, wdrażał i utrzymywał kompleksowe zabezpieczenia oprogramowania („Program Bezpieczeństwa Oprogramowania”), który ma na celu zapewnienie ochrony bezpieczeństwa Urządzeń Objętych Umową, chyba że Strona Pozwana przestanie wprowadzać na rynek, dystrybuować lub sprzedawać jakiekolwiek Objęte Urządzenia.
Niektóre z nowych obowiązków producenta IoT obejmują:
- Stwórz oddanych pracowników utrzymujących, oceniających i piszących treści programu przez lata;
- Planowanie procesów bezpieczeństwa i testowanie oprogramowania pod kątem luk przed wydaniem nowych urządzeń;
- Przeprowadzanie oceny zagrożeń w celu identyfikacji zagrożeń wewnętrznych i zewnętrznych związanych z oprogramowaniem wewnątrz produkowanych przez firmę urządzeń;
- Konfigurowanie automatycznych aktualizacji oprogramowania;
- Bieżące szkolenia dla pracowników i dostawców odpowiedzialnych za rozwój i przegląd oprogramowania dla produkowanego sprzętu itp.
Dodatkowo firma D-Link zgodziła się również poddawać się obszernym audytom co dwa lata przez następne dziesięć lat w celu uzyskania certyfikatu zgodności bezpieczeństwa. Dokumentację z tych audytów należy również dostarczyć do Federalnej Komisji Handlu USA przez następne pięć lat.
D-Link przyjął zmiany i zgodził się na ugodę
Oczywiste jest, że D-Link nie zdołał ochronić swoich urządzeń, podobnie jak wielu użytkowników, przed cyberatakami, a w ciągu ostatnich 2,5 roku cyberprzestępcy szeroko wykorzystywali wpadki producenta.
W czerwcu ubiegłego roku autorom botnetu Satori udało się wykorzystać krytyczną lukę w wykonywaniu kodu w urządzeniach D-Link, które były używane przez Verizon i innych użytkowników ISP.[3] W lipcu 2018 cyberprzestępcom udało się ukraść dostarczony przez firmę D-Link certyfikat bezpieczeństwa, który umożliwił im przesyłanie złośliwego oprogramowania na tysiące urządzeń.[4] W rezultacie hakerzy mogli kraść hasła i zdalnie sterować urządzeniem przez tylne drzwi.
D-Link zgodził się z ugodą, ponieważ John Vecchione, dyrektor generalny i główny doradca procesowy firmy D-Link, wyraził następujące myśli:[5]
Ta sprawa będzie miała trwały wpływ i mamy nadzieję, że pozytywnie ukształtuje politykę publiczną w ważnych obszarach technologii, bezpieczeństwa danych i prywatności. Miejmy nadzieję, że odrzucenie przez Trybunał zarzutu „nieuczciwego” powództwa w związku z brakiem powołania się na rzeczywistą szkodę konsumencką ponownie skoncentruje wysiłki FTC na praktykach które faktycznie szkodzą możliwym do zidentyfikowania konsumentom, zapewniając firmom technologicznym dodatkową pewność niezbędną do bez zezwolenia i rozwoju innowacja.