FTC ke Perusahaan: Patch Log4j ASAP atau Menderita Kemurkaan Kami

Komisi Perdagangan Federal memiliki pesan untuk perusahaan yang tidak mengambil hati ancaman yang ditimbulkan oleh log4j: Menambal atau pengacara. Pertimbangkan diri Anda diperingatkan.

Sekarang, Anda pasti pernah mendengar tentang bug yang disebutkan di atas: Ini adalah kerentanan keamanan yang besar dan mengerikan ( CVE-2021-44228 ) yang saat ini mengganggu sebagian besar internet (sebenarnya ada beberapa kerentanan yang telah ditemukan tetapi yang pertama adalah apa menyebabkan sebagian besar masalah). Memang, sejak penemuannya pada awal Desember, log4j telah memaksa berbondong-bondong perusahaan web terbesar untuk berebut dan menambal produk dan sistem mereka sebelum peretas kriminal dapat melakukannya. Pada hari Selasa, FTC mengeluarkan peringatan keras kepada perusahaan yang mungkin tidak sepenuhnya memprioritaskan keseluruhan proses ini.

“Sangat penting bagi perusahaan dan vendor mereka yang mengandalkan Log4j untuk bertindak sekarang, untuk mengurangi kemungkinan kerugian bagi konsumen, dan untuk menghindari tindakan hukum FTC,” kata agensi tersebut, dalam sebuah pernyataan , mencatat bahwa bug terkait saat ini menimbulkan “ risiko parah bagi jutaan produk konsumen hingga perangkat lunak perusahaan dan aplikasi web.” FTC menambahkan bahwa mereka akan "menggunakan otoritas hukum penuhnya untuk mengejar perusahaan yang gagal mengambil langkah-langkah yang wajar untuk melindungi data konsumen dari paparan sebagai akibat dari Log4j, atau kerentanan serupa yang diketahui di masa depan."

FTC memiliki kekuatan untuk menuntut perusahaan atas praktik keamanan di bawah standar yang membahayakan data pelanggan. (Sebuah keputusan Pengadilan Banding AS pada tahun 2015 memutuskan sebanyak .) Ini bukan pertama kalinya FTC mengambil tindakan terhadap perusahaan karena tidak berbuat cukup untuk melindungi data orang. Pada 2017, misalnya, FTC menggugat penyedia perangkat keras IoT Taiwan D-Link dan anak perusahaannya di Amerika atas pernyataan keliru tentang keamanan produk rumah pintarnya. Agensi tersebut juga membantu mengamankan penyelesaian $700 juta dari Equifax pada tahun 2019 setelah perusahaan pemberi kredit mengalami pelanggaran data yang dahsyat .

Pengumuman FTC yang baru mungkin terdengar sedikit agresif, tapi itu masuk akal; kerentanan log4j telah menyebabkan sejumlah besar masalah, termasuk kaskade aktivitas jahat dan sejumlah insiden peretasan profil tinggi . Bug, yang ada di perpustakaan logging open-source gratis yang dikeluarkan oleh Apache, digunakan oleh sebagian besar platform utama yang diandalkan kebanyakan orang Amerika. (Pikirkan merek seperti Amazon, Apple, Cloudflare, Twitter, LinkedIn, dan sebagainya.)

Untuk memberi bisnis beberapa sumber daya yang bermanfaat daripada hanya ancaman hukum, FTC juga menyediakan tautan ke pembaruan paket perangkat lunak Apache terbaru dalam pengumumannya, serta panduan dari Cybersecurity and Infrastructure Security Agency tentang cara mengurangi kerentanan. Jika Anda tertarik, Anda dapat memeriksa semuanya di sini . Dan jika Anda adalah perusahaan, tambal saja sudah.