D-Link ตกลงที่จะปรับปรุงความปลอดภัยของระบบโดยเป็นส่วนหนึ่งของข้อตกลง FTC
คดีฟ้องร้องของคณะกรรมการการค้าแห่งสหพันธรัฐแห่งสหรัฐอเมริกา (FTC) ประจำปี 2560 กับ D-Link สิ้นสุดลงในที่สุด ทางการสหรัฐฯ กล่าวหาผู้ผลิตฮาร์ดแวร์เครือข่ายชาวไต้หวันที่มีชื่อเสียงว่า not ปกป้องอุปกรณ์อย่างเพียงพอและเพิกเฉยต่อคำเตือนเกี่ยวกับช่องโหว่ของซอฟต์แวร์ที่สำคัญที่สุด รายงาน
ตามคำร้องเรียนดั้งเดิมที่เผยแพร่ในปี 2560 D-Link ล้มเหลวหลายครั้ง:[1]
จำเลยล้มเหลวในการดำเนินการตามสมควรเพื่อปกป้องเราเตอร์และ IPกล้องจากความเสี่ยงที่ทราบกันอย่างกว้างขวางและคาดการณ์ได้อย่างเหมาะสมของการเข้าถึงโดยไม่ได้รับอนุญาต ซึ่งรวมถึง โดยล้มเหลวในการ ป้องกันข้อบกพร่องที่ Open Web Application Security Project จัดอันดับหนึ่งในช่องโหว่ของเว็บแอปพลิเคชันที่สำคัญและแพร่หลายที่สุดนับตั้งแต่ปี 2550 เป็นอย่างน้อย
การกระทำของผู้ผลิตฮาร์ดแวร์ทำให้ความเป็นส่วนตัวและความปลอดภัยออนไลน์ของพลเมืองสหรัฐฯ หลายล้านคนตกอยู่ในความเสี่ยง เนื่องจากผู้ใช้เราเตอร์และกล้องทั่วประเทศมีความเสี่ยงที่จะถูกโจมตีทางไซเบอร์
ผู้ผลิต IoT ชั้นนำถูกกล่าวหาว่าใช้ข้อมูลประจำตัวที่คาดเดายากและคาดเดาได้ง่ายในซอฟต์แวร์กล้องของตน โดยอ้างว่าฮาร์ดแวร์นั้นปลอดภัยทั้งหมด จากการบุกรุกโดยไม่ได้รับอนุญาตและการจัดเก็บรายละเอียดการเข้าสู่ระบบแอพมือถือในรูปแบบข้อความธรรมดา นอกจากจะล้มเหลวในการรักษาความปลอดภัยอุปกรณ์จากที่รู้จักกันดี ช่องโหว่
ด้วยเหตุนี้ D-Link ตกลงที่จะใช้มาตรการรักษาความปลอดภัยใหม่ รวมถึงการเปลี่ยนแปลงที่จำเป็นในการผลิต เอกสารประกอบ การทดสอบความปลอดภัย และกระบวนการอื่นๆ
โปรแกรมความปลอดภัยซอฟต์แวร์ที่ครอบคลุมจะมีอายุ 20 ปี
เพื่อแก้ไขสถานการณ์ D-Link ถูกบังคับให้ยอมรับเงื่อนไขมากมายที่ FTC กำหนด รวมถึงการเข้าสู่ Software Security Program ที่กำหนดให้คงอยู่อย่างน้อย 20 ปี:[2]
มีคำสั่งว่าจำเลยจะต้องดำเนินการหรือจัดตั้งและดำเนินการและบำรุงรักษาซอฟต์แวร์รักษาความปลอดภัยที่ครอบคลุมเป็นเวลายี่สิบ (20) ปีหลังจากเข้าสู่คำสั่งนี้ โปรแกรม (“โปรแกรมความปลอดภัยของซอฟต์แวร์”) ที่ออกแบบมาเพื่อให้การป้องกันสำหรับการรักษาความปลอดภัยของอุปกรณ์ที่ได้รับความคุ้มครอง เว้นแต่จำเลยยุติการทำการตลาด แจกจ่าย หรือขายใดๆ ที่ได้รับความคุ้มครอง อุปกรณ์
ความรับผิดชอบใหม่บางประการของผู้ผลิต IoT ได้แก่:
- จัดตั้งพนักงานที่มีความทุ่มเทในการดูแล ประเมิน และเขียนเนื้อหาสำหรับโปรแกรมตลอดหลายปีที่ผ่านมา
- วางแผนกระบวนการรักษาความปลอดภัยและทดสอบซอฟต์แวร์สำหรับช่องโหว่ก่อนเปิดตัวอุปกรณ์ใหม่
- ดำเนินการประเมินภัยคุกคามเพื่อระบุความเสี่ยงภายในและภายนอกที่เกี่ยวข้องกับซอฟต์แวร์ภายในอุปกรณ์ที่ผลิตขึ้นของบริษัท
- การตั้งค่าอัพเดตเฟิร์มแวร์อัตโนมัติ
- การฝึกอบรมอย่างต่อเนื่องสำหรับพนักงานและผู้ขายที่รับผิดชอบในการพัฒนาและตรวจสอบซอฟต์แวร์สำหรับฮาร์ดแวร์ที่ผลิตขึ้น ฯลฯ
นอกจากนี้ D-Link ยังตกลงที่จะรับการตรวจสอบอย่างละเอียดทุก ๆ สองปีในช่วงสิบปีข้างหน้าเพื่อให้ได้รับการรับรองการปฏิบัติตามความปลอดภัย เอกสารการตรวจสอบเหล่านี้จะต้องส่งให้กับคณะกรรมาธิการการค้าแห่งสหพันธรัฐแห่งสหรัฐอเมริกาเป็นเวลาห้าปีถัดไป
D-Link ยอมรับการเปลี่ยนแปลงและตกลงที่จะทำข้อตกลง
เป็นที่แน่ชัดว่า D-Link ล้มเหลวในการปกป้องอุปกรณ์ของตน พร้อมกับผู้ใช้จำนวนมากจากการโจมตีทางไซเบอร์ และในช่วง 2.5 ปีที่ผ่านมา อาชญากรไซเบอร์ได้ใช้การล่วงละเมิดของผู้ผลิตอย่างกว้างขวาง
ในเดือนมิถุนายนปีที่แล้ว ผู้เขียนบ็อตเน็ต Satori สามารถใช้ประโยชน์จากข้อบกพร่องในการเรียกใช้โค้ดที่สำคัญในอุปกรณ์ D-Link ที่ Verizon และผู้ใช้ ISP รายอื่นใช้[3] ในเดือนกรกฎาคม พ.ศ. 2561 ผู้คุกคามสามารถขโมยใบรับรองความปลอดภัยจาก D-Link ซึ่งอนุญาตให้ส่งมัลแวร์ไปยังอุปกรณ์หลายพันเครื่อง[4] ด้วยเหตุนี้ แฮกเกอร์จึงสามารถขโมยรหัสผ่านและควบคุมอุปกรณ์จากระยะไกลผ่านประตูหลังได้
D-Link เห็นด้วยกับข้อตกลงดังกล่าว เนื่องจาก John Vecchione ซีอีโอและหัวหน้าที่ปรึกษาด้านการพิจารณาคดีของ D-Link ได้แสดงความคิดเห็นดังต่อไปนี้:[5]
กรณีนี้จะมีผลกระทบที่ยั่งยืน และเราหวังว่าจะกำหนดนโยบายสาธารณะในเชิงบวกในด้านเทคโนโลยีที่สำคัญ ความปลอดภัยของข้อมูล และความเป็นส่วนตัว การที่ศาลเพิกถอนข้อเรียกร้อง 'ไม่เป็นธรรม' ของผู้ร้องเรียนสำหรับความล้มเหลวในการเรียกร้องความเสียหายต่อผู้บริโภคที่เกิดขึ้นจริงหวังว่าจะให้ความสำคัญกับความพยายามของ FTC ในด้านการปฏิบัติ ที่ทำร้ายผู้บริโภคที่สามารถระบุตัวตนได้จริง ทำให้บริษัทเทคโนโลยีมีความแน่นอนเพิ่มเติมที่จำเป็นสำหรับการไม่อนุญาตและการพัฒนา นวัตกรรม.