近期開源軟體Log4j重大漏洞衝擊科技領域,由於無數應用程式曾採用以進行開發,影響甚大,在1月4日,美國聯邦交易委員會(FTC)呼籲,為保護消費者權益,企業及其合作廠商務必立即採取修補行動。

值得關注的是,過往FTC的制裁,多是針對特定廠商或多個漏洞,這次罕見針對單一漏洞發出警示,明確指出若未修補漏洞,而致客戶個資外洩或財務損失,恐遭該單位提告,雖然未說明制裁金額比例,但這份公告警告意味相當濃厚,不論是否身處美國,政府與企業、軟硬體業者都應重視。

企業若因未修補已知漏洞導致資料外洩,FTC提告有前例

Log4j用於記錄服務中各種系統活動,幾乎是一款無處不在的軟體,最近Log4j被發現的CVE-2021-44228等一系列漏洞,對數百萬的消費產品、企業軟體與網頁應用程式,帶來巨大衝擊,並有越來越多攻擊者廣泛利用這個漏洞。

對於已知漏洞未修補的嚴重性,FTC提出2017年重大資安事件說明。而這個例子,就是信用報告業者Equifax資料外洩事件,他們在5月至7月間,因漏洞未修補遭駭客入侵,導致1.47億名消費者個資外洩,包括姓名、生日、地址,以及20多萬張金融卡資料。

事後調查結果顯示,美國國土安全部同年3月曾向Equifax發出警告,提醒漏洞存在,該公司卻未有效修補,最終導致資料外洩。後續Equifax遭FTC控告,2019年以7億美元和解。

FTC表示,當漏洞被發現和利用時,可能會導致個人資訊外洩、經濟層面損失,以及其他不可逆轉的傷害,因此須採取合理措施,緩解已知軟體漏洞,若未妥善處理,將涉及違反法令,如聯邦貿易委員會法案(FTCA),以及金融服務業現代化法案,亦稱為GrammLeach Bliley Act(GLBA)。

現在,由於Log4j漏洞影響甚劇,FTC強調,對於依賴Log4j的公司及其供應商而言,需立即採取行動,減少可能對消費者帶來的傷害,避免面臨FTC的法律訴訟。更進一步來看,對於日後任何已知漏洞,企業若不處理,因而造成顧客資料損害,都可能面臨法律裁罰。

同時,FTC提供了這次漏洞修補的相關資訊,包括:安裝Log4j最新版2.17.1,將可修補近期發現的4個漏洞,若要檢查是否使用Log4j軟體程式庫,FTC也推薦CISA所釋出的Log4j Scanner工具,企業及其合作廠商應確保採取補救措施,以保證公司的做法能不違反上述法律,並要將這樣的資訊,通知到提供消費產品服務且易受攻擊的第三方子公司。

Log4j重大漏洞影響甚廣,近期美國聯邦交易委員會(FTC)也提出警告,要企業與供應商需保障消費者權益,若因未修補漏洞而致客戶個資外洩或財務損失,將可能遭FTC提告,而之前已有前例,美國DHS曾向Equifax警告存在漏洞存在,但該公司卻未有效修補,結果導致資料外洩事件,因而遭FTC提告。

對此政府積極介入的態勢,身為國內企業資安通報協處的TWCERT表示,這次美FTC警告將對未修補的企業提告,重點在於擔憂後續資料外洩。

關於國內的狀況,TWCERT表示,在CVE-2021-44228揭露之際,他們已通知國內一些資通訊產品製造商,而這些廠商也自行發布相關資安公告,說明是否受影響或修補狀況,例如華碩兆勤D-Link威聯通群暉等。

但令人憂心的是,國內有許多中小型軟硬體產品業者,無法確定他們在產品開發流程中,已經完全掌握使用的軟體套件,同時,企業是否能盤點檢查軟硬體的修補狀況,將考驗企業與合作廠商溯源能力。

至於各國政府是否需祭出類似的手段,促使企業與產業重視漏洞修補,以及保障消費者資料權益,也將成為資安界後續關注議題。


熱門新聞

Advertisement