Går det att lita på en tillverkare av nätverksprodukter som inte tar säkerheten på allvar? Eller som inte gör rätt säkerhetsåtgärder förrän amerikanska myndigheter sätter ner foten? Går det att lita på D-Link?
- D-Links krävs på stora förändringar i rutiner och säkerhetsarbete med sina nätverksprodukter
- Både kameror och routrar anses vara osäkra och åtkomliga av hackare
- Företaget sparade lösenord i klartext
- Lästips: Skadlig kod på OneDrive, Google Drive & Dropbox ökar
D-Link är en populär tillverkare med ett brett urval av nätverksprodukter. Både konsumentinriktade och för professionellt bruk. Det är också ett företag som granskats och stämts av den amerikanska myndigheten Federal Trade Commission (FTC).
Anledningen till stämningen är att FTC inte tycker att D-Link tagit säkerhetsfrågor på allvar.
Bland kritiken mot företaget finns uppgifter om att D-Link sparat inloggningsuppgifter i klartext med lösenord som är lätta att gissa sig till.
Det har alltså inte använts kryptering i tillräckligt stor utsträckning för att kunna kalla routrar och webbkameror för säkra. Ändå är det precis vad D-Link har gjort, vilket FTC menar är vilseledande marknadsföring.
Här är ett uttalande från FTC när myndigheten stämde D-Link tidigare under 2017:
Defendants repeatedly have failed to take reasonable software testing and remediation measures to protect their routers and IP cameras against well-known and easily preventable software security flaws, such as “hard-coded” user credentials and other backdoors, and command injection flaws, which would allow remote attackers to gain control of consumers’ devices;
Defendant D-Link has failed to take reasonable steps to maintain the confidentiality of the private key that Defendant D-Link used to sign Defendants’ software, including by failing to adequately restrict, monitor, and oversee handling of the key, resulting in the exposure of the private key on a public website for approximately six months; and
Defendants have failed to use free software, available since at least 2008, to secure users’ mobile app login credentials, and instead have stored those credentials in clear, readable text on a user’s mobile device.
Via ArsTechnica
Efter samtal med D-Link har den amerikanska myndigheten och företaget kommit fram till en överenskommelse kring det framtida säkerhetsarbetet.
FTC:s krav på D-Link är omfattande och behövliga
Det här måste D-Link göra enligt överenskommelsen med FTC:
- Implementera nya säkerhetsrutiner som säkerställer att företagets kameror och routrar är säkra.
- Testa framtida produkter för sårbarheter, identifiera hotbilder samt bevaka eventuella sårbarheter.
- Släppa automatiska uppdateringar av firmware om nödvändigt.
- Varannat år skapa en bedömning av företagets säkerhetrutiner från tredjepart – och om det begärs av FTC även lämna ut dessa dokument till myndigheten.
- D-Link måste även acceptera säkerhetsrapporter från säkerhetsforskare.
Det är knappast förtroendeingivande att använda D-Links produkter när företaget krävs på stå stora säkerhetsförbättringar. Det får en att fundera om företaget överhuvudtaget förstår sig på eller bryr sig om säkerhet.
Sannolikheten att drabbas av en riktad attack mot hemnätverket är kanske inte speciellt hög. Men hackare använder avancerade metoder för att automatiskt söka efter sårbarbara användare på internet och hacka deras routrar – utan att de behöver göra manuellt arbete.
Det går snabbt, det är effektivt och miljontals är i farozonen för att drabbas när osäkra prylar kopplas mot internet.
Notera att inte alla D-Links produkter är sårbara.
- Använder du D-Links produkter hemma?
- Oroar du dig över säkerheten i dina prylar och ditt hemnätverk?
Skriv gärna en kommentar och berätta vad du anser om stämningen mot D-Link.
Är du mer nyfiken på nyheten kan du läsa den ursprungliga artikeln om stämningen hos ArsTechnica här och här.