Федеральная торговая комиссия США подала судебный иск против D-Link, обвиняя ее в недостаточности мер по защите своих роутеров и IP-камер и обмане пользователей. Согласно исковому заявлению, маркетинговые материалы D-Link вводили пользователей в заблуждение относительно уровня защищенности IoT-устройств, выпускаемых корпорацией.


Дело о «дырах» и недобросовестной рекламе

Федеральная торговая комиссия обвиняет тайваньскую компанию D-Link Corporation и ее американское дочернее предприятие D-Link Systems в недостаточной защищенности роутеров и IP-камер, выпускающихся под этой маркой.

В иске, поданном в суд Северного округа штата Калифорния, утверждается, что разработчики не приняли надлежащих мер по обеспечению кибербезопасности указанных устройств, и те остаются беззащитными даже перед самыми распространенными типами угроз.

В частности, потенциальные хакеры по-прежнему могут легко отыскать уязвимые устройства через специализированные поисковики и выяснить их IP-адреса. После этого, как утверждается в иске FTC, злоумышленники без особого труда могут получить доступ к личным данным пользователям, включая налоговую и финансовую информацию.

Кроме того, бреши в безопасности IP-камер позволяют использовать их для шпионажа за пользователями.

Отдельно в иске упоминается, что маркетинговые материалы D-Link вводили пользователей в заблуждение относительно защищенности приобретаемых устройств: в них повсюду подчеркивается, что безопасность этих устройств можно обеспечить без каких-либо значительных усилий и что продукция D-Link по умолчанию защищена от несанкционированного доступа. В этом FTC усматривает нарушение закона о недобросовестной рекламе.

Логин: гость; пароль: гость

Среди ключевых недочетов D-Link указывается наличие запрограммированных пар логинов-паролей, прочих бэкдоров и других распространенных уязвимостей, которые в теории позволяют злоумышленникам захватывать контроль над устройствами. Так, например, в вину компании ставится, что доступ к устройствам осуществляется по логину и паролю guest.
D-Link и ее американскую «дочку» обвиняют в американском суде в недостаточной защищенности устройств

D-Link также обвиняется в том, что на протяжении нескольких месяцев держала в открытом доступе секретный ключ, использовавшийся для цифровой подписи программных оболочек для своих устройств. Кроме того, в иске утверждается, что логины и пароли доступа к мобильным приложениям D-Link хранятся прямо в памяти мобильных устройств без какого-либо шифрования.

FTC утверждает, что все это подвергло риску тысячи потребителей, использующих камеры и роутеры D-Link, и что очень часто эти устройства оказывались заражены вредоносным ПО и становились частью ботнетов, которые, в свою очередь, наносили ущерб другим пользователям и организациям.

FTC не выдвигает финансовых требований к ответчику (за вычетом оплаты судебных издержек), но просит суд вынести в отношении D-Link и перманентное предписание против нарушений законодательства.

Какие ваши доказательства?

Пресс-служба D-Link уже назвала обвинения FTC необоснованными, отметив, что Федеральная торговая комиссия в своем иске не указывает ни конкретные уязвимые модели устройств, ни конкретные инциденты, ограничиваясь общими словами о возможности проведения атак.

»Мы будем решительно защищать безопасность и надежность наших роутеров и IP-камер и полностью готовы оспаривать иск. Мы также постоянно совершенствуем защищенность разработок D-Link Systems в соответствии с их назначением и регулярно оповещаем пользователей о том, какие шаги в этом направлении были предприняты», - говорится в заявлении директора по информационной безопасности D-Link Systems Уильяма Брауна.

Поймать и наказать

Безопасность IoT-устройств в последние месяцы стала одной из самых обсуждаемых тем среди экспертов по безопасности, что в немалой степени связано с недавними инцидентами, когда ботнеты из устройств интернета вещей использовались для проведения широкомасштабных DDoS-атак.

- Эксперты давно предупреждали, что ситуация с защищенностью «интернета вещей» близка к катастрофической, и тот факт, что вопрос поднят на уровне Федеральной торговой комиссии, можно только приветствовать, - комментирует Дмитрий Гвоздев, генеральный директор компании «Монитор безопасности».

По его словам, выбор D-Link в качестве субъекта «показательного процесса» не случаен: доля этого производителя на рынке устройств интернета вещей очень высока - по состоянию на 2014 г. около трети IP-камер, реализованных на территории США, были произведены D-Link.

Однако, говорит Гвоздев, формулировки в иске FTC действительно не отличаются конкретикой, так что исход будущего судебного процесса пока неочевиден.

«Защищенность IoT-устройств, в конечном счете, зависит от сознательности конечных пользователей даже в большей степени, чем от самих разработчиков, - говорит Гвоздев. - Если пользователь не видит проблемы в том, чтобы игнорировать настройки безопасности на домашних сетевых устройствах, то ответственность за возможные инциденты в первую очередь лежит на нем, а не на производителе».