شکایت آمریکا از D-Link بخاطر افشای اطلاعات کاربران

این هفته کمیسیون تجارت فدرال آمریکا از شرکت D-Link شکایت کرد. این اتفاق زمانی رخ داد که این شرکت در حفظ امنیت دستگاه‌ها و مسیریاب‌های خود با شکست مواجه شد. بدلیل عدم امنیت کافی در محصولات این شرکت، مهاجمان توانستند به این دستگاه‌ها نفوذ کرده و اطلاعات کاربران را به سرقت ببرند.

FTC در طرح دعوی خود در دادگاه اعلام کرد شرکت D-Link از ارائه‌ی گام‌های اساسی و اولیه در حفاظت از محصولات خود ناتوان بوده و آسیب‌پذیری‌های شناخته‌شده را وصله نکرده است. همین امر موجب شده تا تجهیزات هزاران مشتری در معرض خطر قرار گیرد.

در اثر شکست D-Link در امن کردن محصولات خود، اطلاعات حساس و شخصی کاربران و شبکه‌های محلی در معرض خطر قرار گرفته است. همچنین FTC می‌گوید در اثر این کمبودهای امنیتی مهاجمان می‌توانند با استفاده از ابزارهای برخط و رایگان به سادگی از آسیب‌پذیری‌های شناخته‌شده و معروف بر روی مسیریاب‌ها و دوربین‌های اینترنتی این شرکت بهره‌برداری کنند.

در شکایت FTC از D-Link چندین دلیل برای شکست این شرکت در سیاست‌های امنیتی که وعده داده بود عنوان شده است:
«متهم در بسیاری از آزمون‌های نفوذ نرم‌افزار و ارائه‌ی راه‌حل‌های امنیتی شکست خورده است. بنابراین بسیاری از مسیریاب‌ها و دوربین‌های اینترنتی این شرکت در برابر آسیب‌پذیری‌هایی که به سادگی قابل پیشگیری بود، نفوذپذیر بودند. از جمله‌ی آسیب‌پذیری‌ها و حملات بالقوه می‌توان به تزریق دستور، درب‌های پشتی و گواهی‌نامه‌های ضعیف هارکدشده اشاره کرد که کنترل کامل محصولات را در اختیار مهاجمان قرار می‌دهد.

متهم نظارت کافی و منطقی برای حفظ محرمانگی کلیدهای خصوصی اتخاذ نکرده است. با استفاده از این کلیدهای خصوصی نرم‌افزارهای این شرکت امضاء می‌شد. نظارت کافی بر روی این کلیدها وجود نداشته و دسترسی‌ها به آن محدود نشده بود به‌طوری که یک کلید خصوصی به مدت ۶ ماه بر روی یک وب‌گاه به‌طور عمومی در معرض نمایش قرار گرفته بود.

متهم در ارائه‌ی یک برنامه‌ی رایگان و در دسترس از سال ۲۰۰۸ تاکنون با شکست مواجه شده و نتوانسته امنیت گواهی‌نامه‌های ورود کاربران تلفن‌های همراه را تأمین کند. در این برنامه‌ها گواهی‌نامه‌های کاربران به‌شکل متن ساده و قابل خواندن بر روی دستگاه کاربر ذخیره می‌شد.»

در تیرماه امسال یک آسیب‌پذیری در دوربین‌های D-Link کشف شد که به مهاجمان اجازه می‌داد به امتیازات مدیریتی دست یافته و برای سرقت اطلاعات و جاسوسی از کاربران استفاده کنند. D-Link به این آسیب‌پذیری اعتراف کرد و قول داد این اشکال را برطرف کند. این شرکت به کاربران توصیه کرد برای جلوگیری از نفوذ، گذرواژه‌های خود را تغییر دهند. FTC درخواست شکایت خود را به دادگاهی در آمریکا ارائه کرده و خواستار بهبود سیاست‌های امنیتی در شرکت D-Link و پرداخت تمامی هزینه‌های طرح دعوی است.

منبع: asis

کانال اخبار فناوری اطلاعات نماد امن

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap