Spoločnosť D-Link súhlasila so zlepšením zabezpečenia svojich systémov v rámci vyrovnania FTC
Žaloba americkej Federálnej obchodnej komisie (FTC) proti D-Linku z roku 2017 sa konečne skončila. Americké úrady obvinili významného taiwanského výrobcu sieťového hardvéru, že nie adekvátne chrániť svoje zariadenia a ignorovať varovania o najkritickejšej softvérovej zraniteľnosti správy.
Podľa pôvodnej sťažnosti zverejnenej v roku 2017 D-Link zlyhal pri viacerých príležitostiach:[1]
Obžalovaní neprijali primerané kroky na ochranu svojich smerovačov a IPkamier pred všeobecne známymi a primerane predvídateľnými rizikami neoprávneného prístupu, vrátane tým, že sa to nepodarilo chrániť pred chybami, ktoré projekt Open Web Application Security Project ohodnotilmedzi najkritickejšie a najrozšírenejšie zraniteľnosti webových aplikácií minimálne od roku 2007.
Kroky výrobcu hardvéru ohrozujú súkromie a online bezpečnosť miliónov občanov USA, pretože používatelia smerovačov a kamier po celej krajine boli zraniteľní voči kybernetickým útokom.
Popredný výrobca internetu vecí bol obvinený z používania pevne zakódovaných a ľahko uhádnuteľných poverení vo svojom softvéri fotoaparátu a tvrdil, že hardvér je úplne bezpečný. pred neoprávneným prienikom a ukladaním prihlasovacích údajov do mobilnej aplikácie v čistom texte, okrem toho, že nedokáže zabezpečiť zariadenia pred známymi zraniteľnosti.
V dôsledku toho spoločnosť D-Link súhlasila so zavedením nových bezpečnostných opatrení, ako aj so zahrnutím nevyhnutných zmien vo výrobe, dokumentácii, testovaní bezpečnosti a iných procesoch.
Komplexný program zabezpečenia softvéru bude trvať 20 rokov
S cieľom napraviť situáciu bola spoločnosť D-Link nútená súhlasiť s mnohými podmienkami stanovenými FTC, vrátane vstupu do Programu zabezpečenia softvéru, ktorý má trvať najmenej 20 rokov:[2]
NARIADUJE SA, že odporca bude po dobu dvadsiatich (20) rokov od zadania tohto príkazu pokračovať v komplexnom softvérovom zabezpečení alebo ho zavedie, implementuje a udržiava. program (ďalej len „Program zabezpečenia softvéru“), ktorý je navrhnutý tak, aby poskytoval ochranu bezpečnosti svojich Zahrnutých zariadení, pokiaľ Žalovaný neprestane predávať, distribuovať alebo predávať akékoľvek Zahrnuté Zariadenia.
Niektoré z nových povinností výrobcu internetu vecí zahŕňajú:
- Zriadiť špecializovaných zamestnancov, ktorí budú počas rokov udržiavať, hodnotiť a písať obsah programu;
- Plánovanie bezpečnostných procesov a testovanie softvéru na slabé miesta pred uvedením nových zariadení;
- Vykonávanie hodnotenia hrozieb s cieľom identifikovať interné a externé riziká súvisiace so softvérom vo vnútri zariadení vyrobených spoločnosťou;
- Nastavenie automatických aktualizácií firmvéru;
- Priebežné školenia pre zamestnancov a predajcov zodpovedných za vývoj a kontrolu softvéru pre vyrábaný hardvér atď.
Okrem toho spoločnosť D-Link súhlasila s tým, že počas nasledujúcich desiatich rokov bude každé dva roky prechádzať rozsiahlymi auditmi s cieľom dosiahnuť certifikáciu zhody bezpečnosti. Dokumentácia týchto auditov sa musí počas nasledujúcich piatich rokov poskytnúť aj Federálnej obchodnej komisii USA.
Spoločnosť D-Link prijala zmeny a súhlasila s vyrovnaním
Je jasné, že D-Link nedokázal ochrániť svoje zariadenia spolu s mnohými používateľmi pred kybernetickými útokmi a za posledných 2,5 roka kyberzločinci vo veľkom zneužívali prešľapy výrobcu.
V júni minulého roka sa autorom botnetu Satori podarilo využiť kritickú chybu pri vykonávaní kódu v zariadeniach D-Link, ktoré používali Verizon a ďalší používatelia ISP.[3] V júli 2018 sa aktérom hrozieb podarilo ukradnúť bezpečnostný certifikát poskytnutý spoločnosťou D-Link, ktorý im umožnil preniesť malvér do tisícok zariadení.[4] V dôsledku toho mohli hackeri ukradnúť heslá a ovládať zariadenie na diaľku cez zadné vrátka.
D-Link súhlasil s urovnaním, pretože John Vecchione, generálny riaditeľ a hlavný skúšobný poradca spoločnosti D-Link, vyjadril nasledujúce myšlienky:[5]
Tento prípad bude mať trvalý vplyv a dúfame, že pozitívne ovplyvní verejnú politiku v dôležitých oblastiach technológie, bezpečnosti údajov a súkromia. Zamietnutie „nespravodlivosti“ žaloby zo strany Súdu za nerešpektovanie skutočnej ujmy spotrebiteľov, dúfajme, že preorientuje úsilie FTC na praktiky ktoré skutočne poškodzujú identifikovateľných spotrebiteľov a poskytujú technologickým spoločnostiam dodatočnú istotu potrebnú na to, aby sa inovácie.