A D-Link concordou em melhorar a segurança de seus sistemas como parte do acordo FTC
A ação judicial da Comissão Federal de Comércio dos EUA (FTC) de 2017 contra a D-Link finalmente chegou ao fim. As autoridades dos EUA acusaram o famoso fabricante de hardware de rede taiwanês de não protegendo adequadamente seus dispositivos e ignorando os avisos da vulnerabilidade de software mais crítica relatórios.
De acordo com a reclamação original publicada em 2017, a D-Link falhou em várias ocasiões:[1]
Os réus não tomaram medidas razoáveis para proteger seus roteadores e IPcâmeras de riscos amplamente conhecidos e razoavelmente previsíveis de acesso não autorizado, incluindo por falhar em proteger contra falhas que o Open Web Application Security Project classificouentre as vulnerabilidades de aplicativos da web mais críticas e difundidas desde pelo menos 2007.
As ações do fabricante de hardware colocaram em risco a privacidade e a segurança online de milhões de cidadãos americanos, já que roteadores e usuários de câmeras em todo o país ficaram vulneráveis a ataques cibernéticos.
O fabricante líder de IoT foi acusado de usar credenciais codificadas e facilmente adivinhadas em seu software de câmera, alegando que o hardware é totalmente seguro de intrusões não autorizadas e armazenamento de detalhes de login do aplicativo móvel em texto simples, além de não conseguir proteger os dispositivos de conhecidos vulnerabilidades.
Como resultado, a D-Link concordou em implementar novas medidas de segurança, bem como incluir as mudanças necessárias em sua fabricação, documentação, testes de segurança e outros processos.
Programa abrangente de segurança de software durará 20 anos
Para remediar a situação, a D-Link foi forçada a concordar com muitas condições estabelecidas pela FTC, incluindo entrar no Programa de Segurança de Software que deve durar pelo menos 20 anos:[2]
FICA ORDENADO que o Réu deverá, por um período de vinte (20) anos após a entrada deste Pedido, continuar ou estabelecer e implementar e manter uma segurança de software abrangente programa ("Programa de Segurança de Software") que é projetado para fornecer proteção para a segurança de seus Dispositivos Cobertos, a menos que o Réu deixe de comercializar, distribuir ou vender qualquer Coberto Dispositivos.
Algumas das novas responsabilidades do fabricante de IoT incluem:
- Estabelecer funcionários dedicados mantendo, avaliando e escrevendo o conteúdo do programa ao longo dos anos;
- Planejando processos de segurança e testando software para vulnerabilidades antes do lançamento de novos dispositivos;
- Realizar avaliação de ameaças para identificar riscos internos e externos relacionados ao software dentro dos dispositivos fabricados pela empresa;
- Configurando atualizações automáticas de firmware;
- Treinamento contínuo para funcionários e fornecedores responsáveis pelo desenvolvimento e revisão de software para o hardware produzido, etc.
Além disso, a D-Link também concordou em passar por extensas auditorias a cada dois anos nos próximos dez anos, a fim de obter a certificação de conformidade de segurança. A documentação dessas auditorias também deve ser fornecida à Comissão Federal de Comércio dos Estados Unidos pelos próximos cinco anos.
A D-Link aceitou as mudanças e concordou com o acordo
É claro que o D-Link falhou em proteger seus dispositivos, junto com muitos usuários de ataques cibernéticos e, durante os últimos 2,5 anos, os criminosos cibernéticos abusaram amplamente dos deslizes do fabricante.
Em junho do ano passado, os autores do botnet Satori conseguiram explorar a falha crítica de execução de código em dispositivos D-Link que foram usados pela Verizon e outros usuários de ISP.[3] Em julho de 2018, os agentes de ameaças conseguiram roubar o certificado de segurança fornecido pela D-Link, que lhes permitiu enviar malware para milhares de dispositivos.[4] Como resultado, os hackers podem roubar senhas e controlar o dispositivo remotamente por meio da porta dos fundos.
A D-Link concordou com o acordo, já que John Vecchione, o CEO e consultor jurídico líder da D-Link, expressou os seguintes pensamentos:[5]
Este caso terá um impacto duradouro e, esperamos, moldará positivamente as políticas públicas nas importantes áreas de tecnologia, segurança de dados e privacidade. A rejeição do Tribunal da alegação de 'injustiça' da Reclamação por falta de alegação de dano real ao consumidor irá, esperançosamente, redirecionar os esforços da FTC nas práticas que realmente prejudicam consumidores identificáveis, fornecendo às empresas de tecnologia a certeza adicional necessária para processos sem permissão e em evolução inovação.