Federal Ticaret Komisyonu (FTC), bilgisayar korsanlarının 150.000 internet bağlantılı kameradan canlı video yayınlarına erişmesini sağlayan birden fazla güvenlik hatası için güvenlik kamera satıcısı Verkada'ya 2,95 milyon dolar ceza öneriyor.
Kameraların çoğu kadın sağlığı klinikleri, psikiyatrik hastaneler, hapishaneler ve okullar gibi hassas ortamlarda bulunuyordu.
FTC, Verkada'nın sadece kameraları yetkisiz erişimden korumak için temel güvenlik önlemleri uygulanmadığını değil, aynı zamanda ürünlerin güvenliğini yatırımcılar tarafından sunulan gözlemsiz vaatler ve incelemelerle yanlış tanıttığını iddia ediyor.
Dahası, Verkada, istekli müşterileri tanıtım e-postalarıyla bombalayarak, onları seçme seçenekleri vermeden Can-Spam Yasası'nı ihlal ettiği bulundu.
Mart 2021'de, bir grup bilgisayar korsanının (APT-69420 kundaklama kedileri) Verkada'nın müşteri destek sunucusunda yönetici düzeyinde erişim sağlayan bir kırılganlıktan yararlandığı ortaya çıktı.
Bu yükseltilmiş ayrıcalıkları kötüye kullanan bilgisayar korsanları, FTC'nin 150.000 canlı kamera feed'ine erişim açtığını söylediği Verkada'nın komut platformuna erişti. Oradan, bilgisayar korsanları birkaç gigabayt video görüntüleri, ekran görüntüleri ve müşteri detayları çıkardı.
2021 olayının orijinal özetinde Verkada, saldırı sırasında bilgisayar korsanlarının kameralara eriştiğini ve o zamanlar şirketin müşteri tabanının yüzde ikisinden daha azını oluşturan 97 müşteriden görüntü verilerini incelediğini belirtiyor.
Kimsenin onları engellemeye çalışmadan Verkada'nın dahili sistemlerinde saatlerce dolaştıktan sonra, bilgisayar korsanları medyaya ihlali kendi kendine bildirdi ve kayıtlı videoyu hack'in kanıtı olarak yayınladı.
Bu olaydan önce, Aralık 2020'de, bir hacker, Verkada'nın ağında Mirai'yi kurdu (DOS) saldırılarını başlatmak için Mirai'yi kurdu eski bir ürün yazılımı yapı sunucusunda bir kusurdan yararlandı.
Kamera satıcısı, iki hafta sonra Amazon Web Services'in (AWS) ihlal edilen sunucuda şüpheli etkinliği işaretlediğine kadar uzlaşmayı fark etmedi.
FTC, müşteri verilerini korumak için "sınıfının en iyisi veri güvenlik araçları ve en iyi uygulamalar" kullandığını iddia ederek Verkada'nın aldatıcı olduğunu ve gerçeği temsil etmediğini söylüyor.
Özellikle, Verkada, karmaşık şifrelerin kullanılmasını talep etmek, dinlenmede müşteri verilerinin şifrelenmesi ve güvenli ağ kontrollerinin uygulanması gibi ürünlerinde temel güvenlik önlemleri uygulamamıştır.
Buna ek olarak, Verkada'nın ürünlerinin Sağlık Sigortası Taşınabilirliği ve Hesap Verebilirlik Yasası (HIPAA) ve ayrıca AB-U.S ile uyumlu olduğu iddiaları. ve İsviçre-ABD. Gizlilik Kalkanı çerçeveleri FTC'ye göre yanlış ve yanıltıcıdır.
Verkada'nın, yasalara gelecekteki uyum için bir garanti olarak hareket etmek için 2.95 milyon dolarlık bir ceza ödemesi gerekmektedir.
Buna ek olarak, şirket kendi BT ekibinin ve bağımsız üçüncü tarafların düzenli güvenlik değerlendirmeleri yapacağı, güvencelerini uygulayacak ve test edeceği ve çalışanların veri güvenliği konusunda eğitim vereceği kapsamlı bir güvenlik programı geliştirmeli ve uygulamalıdır.
Verkada'nın gizliliğini, güvenlik uygulamalarını veya HIPAA ve Gizlilik Kalkanı gibi standartlara uygunluğunu yanlış tanıtması yasaktır.
Önümüzdeki 20 yıl boyunca Verkada, olayın tüm ayrıntılarını kapsayan başka bir ABD hükümet kuruluşunu bilgilendirdikten sonra 10 gün içinde siber güvenlik olaylarını FTC'ye bildirmek zorunda kalacak.
Son olarak, Verkada'nın ticari e -postaları artık kullanıcıların istedikleri takdirde kolayca devre dışı bırakabilmeleri için abonelikten çıkma seçenekleri içermelidir.
Tam sipariş ve FTC'nin talepleri öngörülen sipariş belgesinde bulunabilir.
Cuma günü yaptığı açıklamada Verkada, FTC'nin iddialarını kabul etmese de anlaşmanın şartlarını kabul ettiğini söylüyor.
MFA bypass hizmetinin yöneticileri sahtekarlığa suçlu bulundu
Araştırmacı, fidye yazılımıyla çalınan verileri medyayla paylaştığı için dava açtı
Apple DMCA yayından kaldırma tarafından vurulan güvenlik araştırmaları için kullanılan Docker-OSX görüntüsü
Kötü amaçlı yazılım, hayat sonu ip kameralarını enfekte etmek için 5 yaşındaki sıfır gününü kullanır
US, Angler Sustamya Kitine bağlı hacker için 2,5 milyon dolarlık ödül sunuyor
Kaynak: Bleeping Computer