SØKSMÅL

D-Link beskyldes for elendig sikkerhet

Bakdører, hardkodede passord og privat kryptonøkkel på avveie. Nå anlegger amerikanske myndigheter søksmål mot selskapet.

D-Link gjorde ikke nok for å sikre kundene sine, ifølge amerikanske myndigheter. Illustrasjonsfoto av en av selskapets rutere.
D-Link gjorde ikke nok for å sikre kundene sine, ifølge amerikanske myndigheter. Illustrasjonsfoto av en av selskapets rutere. Bilde: Anders Brattensborg Smedsrud
6. jan. 2017 - 12:04

D-Link Corporation fra Taiwan må møte i retten i et føderalt søksmål i USA.

De beskyldes for ikke å ha gjort nok for å beskytte kundene mot kjente sikkerhetshull i produktene de har solgt, melder Arstechnica.

I årevis har det vært avdekket graverende sikkerhetshull og dårlig praksis knyttet til blant annet selskapets bredbåndsrutere og webkameraer, mener det amerikanske konkurransetilsynet FTC, som står bak søksmålet (.pdf).

Blir de funnet skyldige i påstandene risikerer de bøter og straffetiltak, blant annet 20 års sikkerhetsrevisjon, slik Asus måtte underlegge seg etter å ha inngått forlik i en tilsvarende sak i fjor.

Myndighetene mener at D-Link gjentatte ganger har gjort seg skyldig i å utsette kundene for risiko. Blant annet ved å utstyre produktene sine med hardkodede brukernavn og passord, samt andre bakdører, som det heter i søksmålet.

Videre blir de beskyldt for unnlatelsessynder som manglende programvaretesting, samt at de skal ha unnlatt å rette sikkerhetshull, som ifølge myndighetene enkelt kunne vært unngått.

Blant annet sårbarheter som Open Web Application Security Project (OWASP) har betegnet som blant «de mest kritiske og utbredte de siste ti årene».

Mange berørt: Kritisk feil truer 400.000 enheter

Skal ha røpet sin egen nøkkel

D-Link har sviktet på mange områder, ifølge anklagene. Sårbarheter som har åpnet for injisering av kommandoer har gjort det mulig for en angriper å ta kontroll over kundenes utstyr.

Selskapets private krypteringsnøkkel, brukt til å signere og beskytte programvarens integritet, det vil si at kundene med rimelig grad kan anta at programvaren kommer fra dem, skal også ha ligget offentlig tilgjengelig fra D-Link sine hjemmesider i om lag seks måneder.

Utbredt problem: Millioner av enheter bruker samme kryptonøkkel

I et eget punkt refses D-Link for å ha lagret kundenes passord i klartekst i en mobilapp de tilbyr.

Avviser beskyldningene

Ifølge Bloomberg nekter D-Link for beskyldningene.

Selskapet vil forsvare seg i retten, sier talsperson Ashley Nakano til nyhetsbyrået.

Selskapet har i skrivende stund ikke uttalt seg nærmere, men de skal ifølge Bloomberg om kort tid publisere informasjon til kundene. Dette i form av spørsmål og svar på egne nettsider.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.