D-Link a fost de acord să-și îmbunătățească securitatea sistemelor ca parte a acordului FTC
Procesul din 2017 al Comisiei Federale pentru Comerț (FTC) din SUA împotriva D-Link a ajuns în sfârșit la final. Autoritățile americane l-au acuzat pe producătorul taiwanez de hardware de rețea că nu protejându-și în mod adecvat dispozitivele și ignorând avertismentele cu privire la cele mai critice vulnerabilități software rapoarte.
Conform plângerii inițiale publicate în 2017, D-Link a eșuat de mai multe ori:[1]
Pârâții nu au reușit să ia măsuri rezonabile pentru a-și proteja ruterele și IP-ulcamere de la riscuri larg cunoscute și previzibile în mod rezonabil de acces neautorizat, inclusiv prin nereușirea proteja împotriva defectelor pe care Open Web Application Security Project le-a clasatprintre cele mai critice și răspândite vulnerabilități ale aplicațiilor web începând cu cel puțin 2007.
Acțiunile producătorului de hardware pun în pericol confidențialitatea și siguranța online a milioane de cetățeni americani, deoarece utilizatorii de routere și camere din toată țara erau vulnerabili la atacurile cibernetice.
Principalul producător IoT a fost acuzat că folosește acreditări codificate și ușor de ghicit în software-ul camerei sale, susținând că hardware-ul este în întregime sigur. de la intruziuni neautorizate și stocarea detaliilor de conectare la aplicația mobilă în text simplu, pe lângă faptul că nu reușesc să securizeze dispozitivele de binecunoscute vulnerabilități.
Drept urmare, D-Link a fost de acord să implementeze noi măsuri de securitate, precum și să includă modificările necesare în producție, documentație, testare de securitate și alte procese.
Programul cuprinzător de securitate software va dura 20 de ani
Pentru a remedia situația, D-Link a fost forțat să accepte multe condiții stabilite de FTC, inclusiv intrarea în Programul de securitate software care este setat să dureze cel puțin 20 de ani:[2]
SE ORDANE ca pârâtul, pentru o perioadă de douăzeci (20) de ani de la intrarea prezentei ordonanțe, să continue sau să stabilească, să implementeze și să mențină o securitate software cuprinzătoare. program („Programul de securitate software”) care este conceput pentru a oferi protecție pentru securitatea Dispozitivelor acoperite, cu excepția cazului în care pârâtul încetează să comercializeze, să distribuie sau să vândă orice dispozitiv acoperit. Dispozitive.
Unele dintre noile responsabilități ale producătorului IoT includ:
- Stabiliți angajați dedicați care mențin, evaluează și redactează conținutul programului de-a lungul anilor;
- Planificarea proceselor de securitate și testarea software-ului pentru vulnerabilități înainte de lansarea noilor dispozitive;
- Efectuarea evaluării amenințărilor pentru a identifica riscurile interne și externe legate de software-ul din interiorul dispozitivelor fabricate de companie;
- Configurarea actualizărilor automate de firmware;
- Instruire continuă pentru angajații și furnizorii responsabili cu dezvoltarea și revizuirea software-ului pentru hardware-ul produs etc.
În plus, D-Link a fost, de asemenea, de acord să fie supusă unor audituri ample la fiecare doi ani în următorii zece ani pentru a obține certificarea de conformitate cu securitatea. Documentația acestor audituri trebuie furnizată și Comisiei Federale pentru Comerț din SUA pentru următorii cinci ani.
D-Link a acceptat modificările și a fost de acord cu acordul
Este clar că D-Link nu a reușit să-și protejeze dispozitivele, împreună cu mulți utilizatori de atacuri cibernetice și, în ultimii 2,5 ani, infractorii cibernetici au abuzat pe scară largă de derapajele producătorului.
În iunie anul trecut, autorii botnetului Satori au reușit să exploateze defectele critice de execuție a codului în dispozitivele D-Link care au fost folosite de Verizon și de alți utilizatori ISP.[3] În iulie 2018, actorii amenințărilor au reușit să fure certificatul de securitate furnizat de D-Link, care le-a permis să împingă malware pe mii de dispozitive.[4] Drept urmare, hackerii ar putea fura parole și pot controla dispozitivul de la distanță prin ușa din spate.
D-Link a fost de acord cu înțelegerea, întrucât John Vecchione, CEO și consilier principal al procesului D-Link, și-a exprimat următoarele gânduri:[5]
Acest caz va avea un impact de durată și, sperăm, va modela pozitiv politicile publice în domeniile importante ale tehnologiei, securității datelor și confidențialității. Respingerea de către Curte a cererii de „nedreptate” a plângerii pentru nerespectarea prejudiciului real al consumatorului va reorienta eforturile FTC asupra practicilor. care de fapt rănesc consumatorii identificabili, oferind companiilor de tehnologie siguranța suplimentară necesară pentru fără permisiune și evoluție inovaţie.