D-Link đồng ý trải qua thẩm tra bảo mật trong vòng 10 năm để giải quyết vụ kiện của FTC
Nhà sản xuất thiết bị mạng Đài Loan D-Link đã đồng ý thực hiện “chương trình bảo mật phần mềm toàn diện” để giải quyết vụ kiện của Ủy ban Thương mại Liên bang (FTC) với cáo buộc cho rằng công ty đã không thực hiện các bước thích hợp để bảo vệ người tiêu dùng khỏi các cuộc tấn công của tin tặc.
Bộ định tuyến không dây (wireless router) thường được xem là
tuyến phòng thủ đầu tiên chống lại các mối đe dọa tiềm ẩn trên Internet.
Các bộ định tuyến không đáp ứng bảo mật cho người dùng
Tuy nhiên, điều đáng buồn là hầu hết
các bộ định tuyến được sử dụng rộng rãi hiện nay đều không cung cấp các tính
năng bảo mật cần thiết cho người dùng. Không những thế, chúng còn chứa các lỗ hổng
bảo mật nghiêm trọng có thể cho phép kẻ tấn công từ xa truy cập trái phép vào mạng
(network) và làm tổn hại đến bảo mật của các thiết bị khác được kết nối với chúng.
Trong những năm gần đây, bảo mật của mạng không dây (wireless network) là một chủ đề nóng do sự gia tăng đáng kể của các cuộc tấn công mạng, cũng như những phát hiện mới về các lỗ hổng nghiêm trọng tồn tại trong các thiết bị định tuyến của nhiều thương hiệu khác nhau. Nhiều lỗ hổng trong số này có thể được hacker khai thác để bỏ qua xác thực (authentication bypass), thực thi mã từ xa (RCE), tiết lộ thông tin và mã xác thực đăng nhập được mã hóa cứng (hard-coded login credential).
FTC kiện D-Link do tính bảo mật kém của bộ định tuyến không dây và camera IP
Năm 2017, Ủy ban Thương mại Liên bang Hoa Kỳ (FTC) đã đệ đơn kiện D-Link liên quan tới tính bảo mật kém của bộ định tuyến không dây, camera IP và các thiết bị kết nối Internet khác của hãng này. D-Link hiện là một trong những nhà sản xuất bộ định tuyến được sử dụng đông đảo bởi người dùng trên toàn thế giới.
Theo đơn khiếu nại của FTC, D-Link bị cáo buộc đã xuyên tạc
về tính bảo mật trong các sản phẩm của mình tới khách hàng. Công ty không kiểm
tra đầy đủ các sản phẩm để tìm ra các lỗi bảo mật phổ biến đã được biết đến rộng
rãi cũng như không cung cấp các bản vá/ sửa chữa đối với các lỗi này.
Bên cạnh đó, D-Link cũng không có phương án thích hợp nào để
đảm bảo an toàn cho các thiết bị của người dùng khi nhận được báo cáo của các
nhà nghiên cứu bảo mật liên quan tới các lỗ hổng tồn tại trong các sản phẩm của
công ty.
Đơn khiếu nại của FTC đã chỉ rõ về việc D-Link liên tục thất
bại trong việc thực hiện các biện pháp kiểm tra và khắc phục phần mềm hợp lý để
bảo vệ bộ định tuyến và camera IP của họ trước các lỗ hổng bảo mật phần mềm nổi
tiếng và có thể phòng ngừa dễ dàng. Trên thực tế, D-Link đã không thực hiện các
bước hợp lý để bảo đảm sản phẩm của họ tránh khỏi các hoạt động truy cập trái
phép.
Vào năm 2015, D-Link cũng vô tình để rò rỉ khóa bí mật chữ ký số trên Internet có thể cho phép các hacker ký malware độc hại và giả mạo thành phần mềm đáng tin cậy để thực hiện tấn công.
Thỏa thuận hòa giải của FTC và D-Link
Mới đây, FTC đã công bố [ PDF ] một thỏa thuận “hòa giải” trong đó nói rằng D-Link cần phải tuân thủ việc lên kế hoạch bảo mật thích hợp, xây dựng quy trình kiểm tra và khắc phục thường xuyên đối với các lỗ hổng và mối đe dọa tiềm ẩn trước khi các bộ định tuyến và camera IP của hãng này được tung ra thị trường.
Thỏa thuận này cũng bắt buộc phía công ty phải thực hiện giám
sát đối với các sản phẩm của mình để phát hiện các lỗi bảo mật, tự động cập nhật
firmware và thiết lập một hệ thống tiếp nhận báo cáo lỗ hổng từ các nhà nghiên
cứu bảo mật.
Bên cạnh đó, D-Link cũng đã đồng ý trải qua các cuộc thẩm
tra bảo mật hàng năm, được thực hiện liên tiếp trong vòng 10 năm đối với các chương
trình bảo mật phần mềm của công ty do 1 bên thứ ba được FTC phê duyệt thực hiện.
Trong một thông cáo báo chí được đưa ra, D-Link tuyên bố FTC không tìm thấy bất cứ sự vi phạm nào từ phía công ty. Tuy nhiên nếu sự thật đúng như những gì D-Link khẳng định thì tại sao công ty này lại đồng ý thực hiện một bản hòa giải đầy tính ràng buộc với FTC như trên!?
Ngoài D-Link, FTC đã từng giải quyết một vụ việc tương tự với ASUS liên quan tới bảo mật của các bộ định tuyến của công ty này vào năm 2016. ASUS cũng đã đồng ý trải qua các cuộc thẩm tra bảo mật độc lập sau mỗi 2 năm trong vòng 20 năm liên tiếp.
THN
The post D-Link đồng ý trải qua thẩm tra bảo mật trong vòng 10 năm để giải quyết vụ kiện của FTC appeared first on SecurityDaily .
Related News
Top News
-
![]()
Microsoft cảnh báo: tin tặc Bắc Triều Tiên sử dụng trí tuệ nhân tạo trong hoạt động gián điệp trực tuyếnMicrosoft tiết lộ rằng các nhóm tin tặc do nhà nước tài trợ, có liên quan đến Bắc Triều Tiên, đã bắt đầu sử dụng trí tuệ nhân tạo (AI) để gia...
-
![]()
Mã độc SoumniBot tận dụng lỗi Android để ẩn náu tinh viMột mã độc ngân hàng Android mới tên là SoumniBot đang sử dụng phương pháp che giấu ít phổ biến hơn bằng cách khai thác điểm yếu trong quy trình...
-
![]()
Google giới thiệu tính năng cảnh báo URL được cải tiến cho người dùng ChromeVào thứ Năm, Google đã công bố phiên bản nâng cấp của Safe Browsing để cung cấp tính năng bảo vệ URL theo thời gian thực, bảo mật quyền riêng tư...
-
![]()
Mã hoá đường cong Elliptic cơ bản và ứng dụng trong trao đổi khoá Diffie-HellmanCùng tìm hiểu về mã hoá đường cong Elliptic cơ bản và cách ứng dụng chúng trong trao đổi khoá Diffie-Hellman qua bài viết dưới đây. Để hiểu được...
-
![]()
Hackers Exploiting WP-Automatic Plugin Bug to Create Admin Accounts on WordPress SitesThreat actors are attempting to actively exploit a critical security flaw in the WP‑Automatic plugin for WordPress that could allow site...
-
![]()
Cảnh báo mã độc Redline Stealer có thể ảnh hưởng hệ thống thông tin tại Việt NamNgay trước đợt nghỉ lễ 30/4 và 1/5, Cục An toàn thông tin (Bộ TT&TT) cảnh báo về biến thể mới của mã độc Redline Stealer có thể ảnh...