D-Link gick med på att förbättra sin systemsäkerhet som en del av FTC-uppgörelsen
Den amerikanska Federal Trade Commission (FTC) rättegången 2017 mot D-Link nådde äntligen ett slut. De amerikanska myndigheterna anklagade den högprofilerade taiwanesiska tillverkaren av nätverkshårdvara för att inte skydda sina enheter på ett adekvat sätt och ignorera varningarna om de mest kritiska sårbarheterna i programvaran rapporterar.
Enligt det ursprungliga klagomålet som publicerades 2017, misslyckades D-Link vid flera tillfällen:[1]
Svarande har underlåtit att vidta rimliga åtgärder för att skydda sina routrar och IPkameror från allmänt kända och rimligen förutsebara risker för obehörig åtkomst, inklusive genom att misslyckas skydda mot brister som Open Web Application Security Project har rankatbland de mest kritiska och utbredda webbapplikationssårbarheterna sedan åtminstone 2007.
Hårdvarutillverkarens agerande sätter miljontals amerikanska medborgares integritet och onlinesäkerhet på spel, eftersom användare av routrar och kameror över hela landet var sårbara för cyberattacker.
Den ledande IoT-tillverkaren anklagades för att ha använt hårdkodade och lätt gissa referenser i sin kameramjukvara och hävdade att hårdvaran är helt säker från obehöriga intrång och lagring av mobilappsinloggningsuppgifter i klartext, förutom att misslyckas med att säkra enheterna från välkända sårbarheter.
Som ett resultat gick D-Link med på att implementera nya säkerhetsåtgärder, samt att inkludera nödvändiga ändringar av dess tillverkning, dokumentation, säkerhetstestning och andra processer.
Omfattande programvarusäkerhetsprogram kommer att pågå i 20 år
För att åtgärda situationen tvingades D-Link gå med på många villkor som ställts av FTC, inklusive att gå in i Software Security Program som är inställt på att pågå i minst 20 år:[2]
DET BESTÄLLS att svaranden ska, under en period av tjugo (20) år efter inträdet av denna order, fortsätta med eller upprätta och implementera och underhålla en omfattande mjukvarusäkerhet program (”Säkerhetsprogram för mjukvara”) som är utformat för att ge skydd för säkerheten för dess täckta enheter, såvida inte svaranden upphör att marknadsföra, distribuera eller sälja någon täckt Enheter.
Några av de nya ansvarsområdena för IoT-tillverkaren inkluderar:
- Etablera engagerade medarbetare som underhåller, utvärderar och skriver innehållet för programmet genom åren;
- Planera säkerhetsprocesser och testa programvara för sårbarheter innan nya enhetssläpp;
- Utföra hotbedömning för att identifiera interna och externa risker relaterade till programvaran inuti företagets tillverkade enheter;
- Ställa in automatiska firmwareuppdateringar;
- Löpande utbildning för anställda och leverantörer som ansvarar för utveckling och granskning av mjukvara för den producerade hårdvaran m.m.
Dessutom gick D-Link också med på att genomgå omfattande revisioner vartannat år under de kommande tio åren för att uppnå säkerhetscertifieringen. Dokumentationen för dessa granskningar måste också lämnas till US Federal Trade Commission för de kommande fem åren.
D-Link accepterade förändringarna och gick med på uppgörelsen
Det är uppenbart att D-Link misslyckades med att skydda sina enheter, tillsammans med många användare från cyberattacker, och under de senaste 2,5 åren har cyberbrottslingar i stor utsträckning missbrukat tillverkarens förfalskningar.
I juni förra året lyckades Satoris botnätförfattare utnyttja kritiska kodexekveringsfel i D-Link-enheter som användes av Verizon och andra ISP-användare.[3] I juli 2018 lyckades hotaktörer stjäla säkerhetscertifikat från D-Link, vilket gjorde det möjligt för dem att skicka skadlig programvara till tusentals enheter.[4] Som ett resultat kunde hackare stjäla lösenord och fjärrstyra enheten via bakdörren.
D-Link gick med på förlikningen, eftersom John Vecchione, VD och ledande rättegångsjurist för D-Link, uttryckte följande tankar:[5]
Det här ärendet kommer att ha en bestående inverkan och, vi hoppas, forma den offentliga politiken på ett positivt sätt inom de viktiga områdena teknik, datasäkerhet och integritet. Domstolens avvisande av klagomålets "oskälighets"-anspråk för underlåtenhet att åberopa faktisk skada för konsumenterna kommer förhoppningsvis att fokusera FTC: s ansträngningar på praxis. som faktiskt skadar identifierbara konsumenter, vilket ger teknikföretag ytterligare säkerhet som är nödvändig för tillståndslös och utvecklas innovation.