Federal Ticaret Komisyonu’nun log4j’nin oluşturduğu tehdidi ciddiye almayan şirketlere bir mesajı var: Düzeltme veya avukatlık yapın. Kendinizi uyarılmış sayın.
Şimdiye kadar, kesinlikle duymuşsunuzdur bahsi geçen bug: Bu büyük, korkunç bir güvenlik açığıdır (CVE-2021-44228) şu anda internetin geniş alanlarını rahatsız ediyor (aslında çoklu güvenlik açıkları keşfedildi, ancak ilki, sorunun çoğuna neden olan şeydir). Gerçekten de, Aralık ayının başlarında keşfedilmesinden bu yana log4j, web’in en büyük şirketlerini, suç korsanları onlara ulaşmadan önce ürünlerini ve sistemlerini karıştırmaya ve düzeltmeye zorladı. Salı günü, FTC sert bir uyarı yayınladı tüm bu sürece tam olarak öncelik vermeyen şirketlere.
Ajans, “Tüketicilere zarar verme olasılığını azaltmak ve FTC yasal işlemden kaçınmak için Log4j’ye güvenen şirketlerin ve satıcılarının şimdi hareket etmesi kritik önem taşıyor” dedi. Bir deyim, ilgili hataların şu anda “milyonlarca tüketici ürününden kurumsal yazılımlara ve web uygulamalarına yönelik ciddi risk” oluşturduğunu belirterek. FTC, “tüketici verilerini gelecekte Log4j veya benzer bilinen güvenlik açıklarının bir sonucu olarak maruz kalmaktan korumak için makul adımlar atmayan şirketleri takip etmek için tam yasal yetkisini kullanacağını” ekledi.
FTC, müşteri verilerini tehlikeye atan standart altı güvenlik uygulamaları için şirketlere dava açma yetkisine sahiptir. (2015 yılında bir ABD Temyiz Mahkemesi kararı kadar karar verdi.) Bu, FTC’nin, insanların verilerini korumak için yeterince şey yapmadığı için şirketlere karşı aldığı ilk önlem değil. Örneğin 2017’de, FTC dava açtı Tayvanlı IoT donanım sağlayıcısı D-Link ve onun Amerikalı yan kuruluşu, akıllı ev ürünlerinin güvenliğini yanlış beyan etmesi nedeniyle. Ajans ayrıca güvenli yardımcı oldu kredi veren şirketin kötü bir şekilde acı çekmesinin ardından 2019’da Equifax’tan 7o0 milyon dolarlık bir anlaşma felaket bir veri ihlali.
Yeni FTC duyurusu biraz agresif gelebilir, ancak kesinlikle mantıklı; log4j güvenlik açığı şimdiden çok büyük bir soruna yol açtı. art arda kötü niyetli etkinlik ve bir dizi yüksek profilli hack olayları. Apache tarafından ortaya konan ücretsiz, açık kaynaklı bir günlük kitaplığında bulunan hata, çoğu Amerikalı’nın güvendiği büyük platformların çoğunluğu tarafından kullanılıyor. (Amazon, Apple, Cloudflare, Twitter, LinkedIn gibi markaları düşünün.)
FTC, işletmelere yalnızca yasal tehditler yerine bazı yararlı kaynaklar sağlamak için duyurusunda en son Apache yazılım paketi güncellemesine bir bağlantı ve ayrıca Siber Güvenlik ve Altyapı Güvenliği Ajansı’ndan güvenlik açığının nasıl azaltılacağına ilişkin rehberlik sağladı. Eğer ilgileniyorsanız, hepsini kontrol edebilirsiniz burada. Ve eğer bir şirketseniz, şimdiden düzeltin.
.
genel-7