FTC ไปยังบริษัทต่างๆ: Patch Log4j ASAP หรือประสบกับความโกรธของเรา

คณะกรรมาธิการการค้าแห่งสหพันธรัฐมีข้อความสำหรับบริษัทต่างๆ ที่ไม่ยอมรับภัยคุกคามจาก log4j ให้ใส่ใจ: ปรับปรุงหรือทนาย เตือนตัวเองแล้ว.

ถึงตอนนี้ คุณคงเคยได้ยินเกี่ยวกับข้อบกพร่องดังกล่าวแล้ว: เป็นช่องโหว่ด้านความปลอดภัยที่ใหญ่และแย่มาก ( CVE-2021-44228 ) ซึ่งทำให้เกิดปัญหากับอินเทอร์เน็ตจำนวนมาก (จริงๆ แล้วมีช่องโหว่หลายจุดที่ถูกค้นพบ แต่ช่องโหว่แรกคืออะไร ทำให้เดือดร้อนมากที่สุด) อันที่จริง นับตั้งแต่การค้นพบเมื่อต้นเดือนธันวาคม log4j ได้บังคับให้บริษัทที่ใหญ่ที่สุดของเว็บจำนวนมากต้องแย่งชิงและแก้ไขผลิตภัณฑ์และระบบของตนก่อนที่แฮ็กเกอร์อาชญากรจะเข้าถึงได้ เมื่อวันอังคารที่ผ่านมา FTC ได้ออกคำเตือนที่เข้มงวดแก่บริษัทต่างๆ ที่อาจไม่ได้จัดลำดับความสำคัญของกระบวนการทั้งหมดนี้อย่างเต็มที่

“เป็นเรื่องสำคัญที่บริษัทและผู้ขายของพวกเขาต้องพึ่งพา Log4j ในตอนนี้ เพื่อลดโอกาสที่จะเกิดอันตรายต่อผู้บริโภค และเพื่อหลีกเลี่ยงการดำเนินการทางกฎหมายของ FTC” หน่วยงานกล่าวในแถลงการณ์โดยสังเกตว่าข้อบกพร่องที่เกี่ยวข้องในปัจจุบันก่อให้เกิด “ ความเสี่ยงอย่างร้ายแรงต่อสินค้าอุปโภคบริโภคหลายล้านรายการต่อซอฟต์แวร์ระดับองค์กรและเว็บแอปพลิเคชัน” FTC เสริมว่า จะ “ใช้อำนาจทางกฎหมายอย่างเต็มที่เพื่อไล่ตามบริษัทที่ไม่ได้ดำเนินการตามสมควรเพื่อปกป้องข้อมูลผู้บริโภคจากการถูกเปิดเผยอันเป็นผลมาจาก Log4j หรือช่องโหว่ที่รู้จักกันในอนาคต”

FTC มีอำนาจฟ้องบริษัทเกี่ยวกับแนวทางปฏิบัติด้านความปลอดภัยที่ต่ำกว่ามาตรฐานซึ่งเป็นอันตรายต่อข้อมูลลูกค้า (คำตัดสินของศาลอุทธรณ์สหรัฐในปี 2558 ตัดสินมากพอแล้ว) นี่ไม่ใช่ครั้งแรกที่ FTC ได้ดำเนินการกับบริษัทต่างๆ เนื่องจากไม่ได้ดำเนินการเพียงพอในการปกป้องข้อมูลของผู้คน ตัวอย่างเช่น ในปี 2560 FTC ฟ้อง D-Link ผู้ให้บริการฮาร์ดแวร์ IoT ของไต้หวันและบริษัทในเครือในอเมริกาเกี่ยวกับการบิดเบือนความจริงเกี่ยวกับความปลอดภัยของผลิตภัณฑ์สมาร์ทโฮม หน่วยงานยังช่วยให้ได้รับเงิน 7o0 ล้านดอลลาร์จาก Equifax ในปี 2019 หลังจากที่บริษัทสินเชื่อประสบการละเมิดข้อมูลอย่าง ร้ายแรง

การประกาศ FTC ใหม่อาจฟังดูก้าวร้าวเล็กน้อย แต่ก็สมเหตุสมผลดี ช่องโหว่ log4j ได้นำไปสู่ปัญหามากมาย ซึ่งรวมถึงกิจกรรมที่เป็นอันตราย และ เหตุการณ์การแฮ็กที่มีรายละเอียดสูงจำนวนหนึ่ง บั๊กซึ่งมีอยู่ในไลบรารีบันทึกโอเพนซอร์สฟรีที่ Apache นำเสนอ ถูกใช้โดยแพลตฟอร์มหลักส่วนใหญ่ที่ชาวอเมริกันส่วนใหญ่พึ่งพา (นึกถึงแบรนด์ต่างๆ เช่น Amazon, Apple, Cloudflare, Twitter, LinkedIn และอื่นๆ)

เพื่อให้ธุรกิจมีทรัพยากรที่เป็นประโยชน์มากกว่าที่จะเป็นเพียงแค่ภัยคุกคามทางกฎหมาย FTC ยังได้ให้ลิงก์ไปยังการอัปเดตแพ็คเกจซอฟต์แวร์ Apache ล่าสุดในประกาศ ตลอดจนคำแนะนำจาก Cybersecurity และ Infrastructure Security Agency เกี่ยวกับวิธีการลดช่องโหว่ หากคุณสนใจ คุณสามารถตรวจสอบทั้งหมดได้ที่นี่ และถ้าคุณเป็นบริษัท ก็แค่แก้ไขให้เรียบร้อย