FTC för att förfölja företag som exponerar kunddata på grund av att de inte patchar Log4j

0
145

Chris DuckettSkrivet av Chris Duckett, APAC-redaktör Chris Duckett Chris Duckett APAC Editor

Chris började sitt journalistiska äventyr 2006 som redaktör för Builder AU efter att ha börjat med CBS som programmerare. Efter en vistelse i Kanada återvände han 2011 som redaktör för TechRepublic Australia och är nu australiensisk redaktör för ZDNet.

Fullständig beskrivning den 4 januari 2022 | Ämne: Säkerhet

ransomware-cyberattack-security-encrypted.jpg

Bild: perinjo/GETTY

USA:s federala handelskommission har utfärdat en varning om att den kommer att jaga företag som inte åtgärdar sårbarheten i Java-loggningspaketet Log4j.

“FTC avser att använda sin fulla juridiska befogenhet för att förfölja företag som inte vidtar rimliga åtgärder för att skydda konsumentdata från exponering som ett resultat av Log4j eller liknande kända sårbarheter i framtiden”, sa byrån på tisdagen.

“Underlåtenhet att identifiera och korrigera instanser av denna programvara kan bryta mot FTC-lagen.”

Byrån nämnde sin förlikning på 700 miljoner dollar med Equifax 2019 som ett exempel på vad som kan hända om kunddata avslöjas.

“Log4j-sårbarheten är en del av en bredare uppsättning strukturella frågor. Den är en av tusentals obeskrivna men kritiskt viktiga öppen källkodstjänster som används i en nästan oräknelig mängd internetföretag”, sa FTC .

“Dessa projekt skapas och underhålls ofta av volontärer, som inte alltid har tillräckliga resurser och personal för incidenthantering och proaktivt underhåll även om deras projekt är avgörande för internetekonomin.

“Denna övergripande dynamik är något som FTC kommer att överväga när vi arbetar för att ta itu med rotfrågor som äventyrar användarsäkerhet.”

Tidigare på tisdagen sa Microsoft att folk kanske inte är medvetna om hur utbrett Log4Shell-problemet är i deras miljöer, och varnade att försöken att utnyttja det förblev höga till slutet av 2021.

“Vid denna tidpunkt bör kunderna anta bred tillgänglighet av exploateringskod och skanningsfunktioner för att vara en verklig och aktuell fara för deras miljöer”, sa mjukvarujätten.

“På grund av de många mjukvara och tjänster som påverkas och med tanke på uppdateringstakten, förväntas detta ha en lång svans för sanering, vilket kräver pågående, hållbar vaksamhet.”

Cloudflare varnade förra månaden att det hade upptäckt aktivitet relaterad till fjärrkodsexploateringen så tidigt som den 1 december, vilket innebar att sårbarheten var i naturen i minst nio dagar innan den offentliggjordes.

mer Log4j

Log4j zero-day: Hur du skyddar dig Apache släpper ny 2.17.0 patch Säkerhetsföretaget upptäcker ny attackvektor 10 frågor du behöver ställa Regeringens släpper Log4j-rådgivning Hittills har nästan hälften av företagens nätverk varit attackerade USA: Hundratals miljoner enheter i riskzonen Regering – USA | Säkerhets-TV | Datahantering | CXO | Datacenter