Д-Линк се сложио да побољша безбедност својих система као део ФТЦ поравнања
Тужба против Д-Линк-а из 2017. окончана је нагодбом од 32 странице у уторак
Тужба америчке Федералне трговинске комисије (ФТЦ) из 2017. против Д-Линк-а коначно је окончана. Америчке власти оптужиле су тајванског произвођача мрежног хардвера високог профила да није адекватну заштиту својих уређаја и игнорисање упозорења о најкритичнијој рањивости софтвера извештаји.
Према првобитној жалби објављеној 2017. године, Д-Линк је пропао у више наврата:[1]
Оптужени нису предузели разумне кораке да заштите своје рутере и ИПкамере од опште познатих и разумно предвидљивих ризика од неовлашћеног приступа, укључујући пропустом да штити од недостатака које је оценио пројекат безбедности отворених веб апликацијамеђу најкритичнијим и најраширенијим рањивостима веб апликација од најмање 2007.
Радње произвођача хардвера довеле су у опасност приватност и безбедност на мрежи милиона грађана САД, пошто су корисници рутера и камера широм земље били подложни сајбер нападима.
Водећи произвођач интернета ствари оптужен је да користи тврдо кодиране и лако погодне акредитиве у свом софтверу за камеру, тврдећи да је хардвер потпуно безбедан од неовлашћених упада и чувања података за пријаву на мобилну апликацију у обичан текст, поред тога што нису успели да осигурају уређаје од познатих рањивости.
Као резултат тога, Д-Линк је пристао да примени нове безбедносне мере, као и да укључи неопходне промене у своју производњу, документацију, тестирање безбедности и друге процесе.
Свеобухватни програм безбедности софтвера трајаће 20 година
Да би поправио ситуацију, Д-Линк је био приморан да пристане на многе услове које је поставила ФТЦ, укључујући улазак у Програм безбедности софтвера који ће трајати најмање 20 година:[2]
НАЛАЖЕ СЕ да ће окривљени, у периоду од двадесет (20) година након уношења овог налога, наставити или успоставити и имплементирати и одржавати свеобухватну софтверску сигурност програм („Програм за безбедност софтвера“) који је дизајниран да обезбеди заштиту за безбедност својих Покривених уређаја, осим ако окривљени не престане да продаје, дистрибуира или продаје било који Покривени Уређаји.
Неке од нових одговорности произвођача ИоТ-а укључују:
- Успоставити посвећене запослене који одржавају, процењују и пишу садржаје програма током година;
- Планирање безбедносних процеса и тестирање софтвера на рањивости пре објављивања нових уређаја;
- Извођење процене претњи ради идентификовања интерних и екстерних ризика у вези са софтвером унутар уређаја произведених у компанији;
- Подешавање аутоматског ажурирања фирмвера;
- Стална обука за запослене и продавце одговорне за развој и преглед софтвера за произведени хардвер итд.
Поред тога, Д-Линк је такође пристао да се подвргне опсежним ревизијама сваке две године у наредних десет година како би добио сертификат о усклађености са безбедносним стандардима. Документација ових ревизија такође се мора доставити америчкој Федералној трговинској комисији за наредних пет година.
Д-Линк је прихватио промене и пристао на нагодбу
Јасно је да Д-Линк није успео да заштити своје уређаје, заједно са многим корисницима од сајбер напада, а током протекле 2,5 године сајбер криминалци су увелико злоупотребљавали грешке произвођача.
У јуну прошле године, Сатори ботнет аутори су успели да искористе критичну грешку у извршавању кода на Д-Линк уређајима које су користили Веризон и други ИСП корисници.[3] У јулу 2018, актери претњи успели су да украду безбедносни сертификат Д-Линк-а, који им је омогућио да гурну малвер на хиљаде уређаја.[4] Као резултат тога, хакери би могли да украду лозинке и контролишу уређај даљински преко бацкдоор-а.
Д-Линк се сложио са нагодбом, пошто је Џон Векионе, извршни директор и главни судски саветник Д-Линк-а, изразио следеће мисли:[5]
Овај случај ће имати трајан утицај и, надамо се, позитивно обликовати јавну политику у важним областима технологије, безбедности података и приватности. Надамо се да ће суд одбацити тужбу о „неправедности“ због пропуста да се изјасни о стварној штети потрошачима, надамо се да ће преусмјерити напоре ФТЦ-а на праксе који заправо наносе штету потрошачима који се могу идентификовати, пружајући технолошким компанијама додатну сигурност неопходну за неовлашћено и развој иновација.