Federal Ticaret Komisyonu (FTC), güvenlik kamera satıcısı Verkada'nın, birden fazla güvenlik arızasının, bilgisayar korsanlarının internet bağlantılı kameralardan canlı video yayınlarına erişmesini sağladıktan sonra anlaşmanın bir parçası olarak kapsamlı bir bilgi güvenliği programı oluşturmasını gerektirir.
Birçok kamera kadın sağlığı klinikleri, psikiyatri hastaneleri, hapishaneler ve okullar gibi hassas ortamlarda bulunuyordu.
FTC, Verkada'nın sadece kameraları yetkisiz erişimden korumak için temel güvenlik önlemleri uygulanmadığını değil, aynı zamanda ürünlerin güvenliğini yatırımcılar tarafından sunulan gözlemsiz vaatler ve incelemelerle yanlış tanıttığını iddia ediyor.
Dahası, Verkada'nın, istekli müşterileri tanıtım e-postaları ile bombardıman yaparak Can-Spam Yasasını ihlal ettiği tespit edildi.
Şirket, bu geçmiş e -posta pazarlama kampanyaları için 2,95 milyon dolarlık bir çözüm ödemeyi kabul etti.
Mart 2021'de, bir grup bilgisayar korsanının (APT-69420 kundaklama kedileri) Verkada'nın müşteri destek sunucusunda yönetici düzeyinde erişim sağlayan bir kırılganlıktan yararlandığı ortaya çıktı.
Bu yükseltilmiş ayrıcalıkları kötüye kullanan bilgisayar korsanları, FTC'nin 150.000 canlı kamera feed'ine erişim açtığını söylediği Verkada'nın komut platformuna erişti.
Bilgisayar korsanları, erişilen kameralardan birkaç gigabayt video görüntüleri, ekran görüntüleri ve müşteri ayrıntılarını çıkardı.
2021 olayının orijinal özetinde Verkada, saldırı sırasında bilgisayar korsanlarının kameralara eriştiğini ve 97 müşteriden görüntü verilerini görüntülediğini ve şirketin müşteri tabanının yüzde ikisinden daha azını oluşturduğunu belirtiyor.
Kimsenin onları engellemeye çalışmadan Verkada'nın dahili sistemlerinde saatlerce dolaştıktan sonra, bilgisayar korsanları medyaya ihlali kendi kendine bildirdi ve kayıtlı videoyu hack'in kanıtı olarak yayınladı.
Bu olaydan önce, Aralık 2020'de bir hacker, Verkada'nın ağındaki eski bir ürün yazılımı yapı sunucusunda bir kusurdan yararlandı ve Mirai'yi Hizmet Reddi (DOS) saldırılarını başlatmak için yükledi.
Kamera satıcısı, iki hafta sonra Amazon Web Services'in (AWS) ihlal edilen sunucuda şüpheli etkinliği işaretlediğine kadar uzlaşmayı fark etmedi.
FTC, "sınıfının en iyisi veri güvenlik araçları ve en iyi uygulamalar" kullandığını iddia ederek, müşteri verilerini korumak için Verkada aldatıcı ve gerçeği temsil etmiyor.
Özellikle, Verkada, karmaşık şifrelerin kullanılmasını talep etmek, dinlenmede müşteri verilerinin şifrelenmesi ve güvenli ağ kontrollerinin uygulanması gibi ürünlerinde temel güvenlik önlemleri uygulamamıştır.
Buna ek olarak, Verkada'nın ürünlerinin Sağlık Sigortası Taşınabilirliği ve Hesap Verebilirlik Yasası (HIPAA) ve ayrıca AB-U.S ile uyumlu olduğu iddiaları. ve İsviçre-ABD. Gizlilik Kalkanı çerçeveleri FTC'ye göre yanlış ve yanıltıcıdır.
Verkada, geçmiş e -posta pazarlama kampanyaları üzerinden FTC ile bir anlaşmada 2.95 milyon dolar ödemeyi kabul etti.
Buna ek olarak, şirket kendi BT ekibinin ve bağımsız üçüncü tarafların düzenli güvenlik değerlendirmeleri yapacağı, güvencelerini uygulayacağı ve test edeceği ve çalışanların veri güvenliği konusunda eğitim vereceği kapsamlı bir güvenlik programı geliştirmeli ve uygulamalıdır.
Verkada'nın gizliliğini, güvenlik uygulamalarını veya HIPAA ve Gizlilik Kalkanı gibi standartlara uygunluğunu yanlış tanıtması yasaktır.
Önümüzdeki 20 yıl boyunca Verkada, olayın tüm ayrıntılarını kapsayan başka bir ABD hükümet kuruluşunu bilgilendirdikten sonra 10 gün içinde siber güvenlik olaylarını FTC'ye bildirmek zorunda kalacak.
Son olarak, Verkada'nın ticari e-postaları artık kullanıcıların istedikleri takdirde kolayca devre dışı bırakabilmeleri için abonelikten çıkma seçenekleri içermelidir.
Tam sipariş ve FTC'nin talepleri öngörülen sipariş belgesinde bulunabilir.
Cuma günü yaptığı açıklamada Verkada, FTC'nin iddialarını kabul etmese de, anlaşmanın şartlarını kabul ettiğini söyledi.
FTC: 2023'te Bitcoin ATM dolandırıcılığına 110 milyon doların üzerinde kaybetti
ClearView AI, yasadışı veri toplama için 30,5 milyon € para cezasına çarptırıldı
MFA bypass hizmetinin yöneticileri sahtekarlığa suçlu bulundu
Araştırmacı, fidye yazılımıyla çalınan verileri medyayla paylaştığı için dava açtı
Apple DMCA yayından kaldırma tarafından vurulan güvenlik araştırmaları için kullanılan Docker-OSX görüntüsü
Kaynak: Bleeping Computer