لجنة التجارة الفيدرالية (FTC) هي هيئة حقوق المستهلك في الولايات المتحدة ، وقد أبحرت إلى عام 2022 بضجة ، وليس تذمر.

استخدام ثغرة Log4Shell سيئة السمعة كما قد تسميها معرض a، FTC لديها أطلق رصاصة عبر الأقواس من الشركات في الولايات القضائية الأمريكية ، ويطلب منهم الحصول على التصحيح بالترتيب ، أو مواجهة العواقب:

من الأهمية بمكان أن تعمل الشركات والبائعون الذين يعتمدون على Log4j الآن ، من أجل تقليل احتمالية حدوث ضرر للمستهلكين ، ولتجنب الإجراءات القانونية التي تتخذها لجنة التجارة الفيدرالية.

انها ليست مجرد log4j، بالطبع ، هذا يخلق التزامًا قانونيًا بفعل الشيء الصحيح لحماية المستهلكين ، حيث تذكرنا لجنة التجارة الفيدرالية (FTC) جميعًا بما يلي:

عندما يتم اكتشاف نقاط الضعف واستغلالها ، فإنها تخاطر بفقدان المعلومات الشخصية أو خرقها ، والخسارة المالية ، وغيرها من الأضرار التي لا رجعة فيها. ينطوي واجب اتخاذ خطوات معقولة للتخفيف من نقاط الضعف المعروفة في البرامج على قوانين تشمل ، من بين أمور أخرى ، قانون لجنة التجارة الفيدرالية وقانون Gramm Leach Bliley.

بعبارة أخرى ، على الرغم من أن شركتك نفسها قد تكون ضحية لجريمة ، فإن ذلك لا يسمح لك بالتخلي عن المسؤولية المدنية أو الجنائية الخاصة بك.

ببساطة: إذا كانت هناك احتياطات ضد خرق البيانات التي كان من الممكن أن تتخذها بشكل معقول ، وكان الناس يتوقعون منك بشكل معقول أنك اتخذتها ، لكنك لم ...

... ثم يمكن أن ينتهي بك الأمر أن تكون ضحية وجاني في نفس الوقت.

لقد فعلت FTC هذا من قبل

إن تحذير لجنة التجارة الفيدرالية المقتضب ولكن الصريح يجعل مثالاً على خرق Equifax سيئ السمعة لعام 2017 ، حيث تم اختراق عملاق تقارير الائتمان الأمريكية عبر ضعف Apache Struts غير المصحح مع معرف الخطأ المتواضع CVE-2017-5638.

ونتيجة لذلك ، تم الكشف عن المعلومات الشخصية لما يقرب من 150,000,000 شخص.

تذكرنا لجنة التجارة الفيدرالية (FTC) بشدة أن Equifax انتهى به الأمر إلى دفع 700 مليون دولار لتسوية الإجراءات القانونية اللاحقة من FTC نفسها ، ومن مكتب حماية المستهلك المالي الأمريكي ، ومن جميع الولايات الأمريكية الخمسين.

توضح لجنة التجارة الفيدرالية (FTC) أيضًا أنها ستكون سعيدة تمامًا بقيادة الاتهام ضد الجناة في المستقبل أيضًا:

تعتزم لجنة التجارة الفيدرالية استخدام سلطتها القانونية الكاملة لملاحقة الشركات التي تفشل في اتخاذ خطوات معقولة لحماية بيانات المستهلك من التعرض كنتيجة لـ Log4j ، أو نقاط الضعف المعروفة المماثلة في المستقبل.

Déjà vu من جديد

ومن المثير للاهتمام ، أن ثغرة Apache Struts التي اكتشفت Equifax لها العديد من أوجه التشابه مع الثقب الأمني ​​Log4Shell في كود تسجيل Log4j الخاص بـ Apache.

كانت الثغرة الأمنية CVE-2017-5638 Struts قابلة للاستغلال لأن بيانات نصية غير مهمة في طلب ويب غير موثوق به قد تحتوي على "تسلسلات أحرف سحرية" كانت تعامل كبرامج مصغرة في الطرف الآخر.

بدلاً من قول "البيانات التي أرسلتها لك توًا تكون بهذا التنسيق: text/plain"، يمكنك أن تقول شيئًا مثل" البيانات التي أرسلتها لك للتو هي: (مهلاً ، قم بتشغيل هذه السلسلة النصية القصيرة غير الموثوق بها تمامًا كجزء من البرنامج لمعرفة نوعه) ".

اعجاب ثقب Log4Shell الخاص بـ Log4j، كان هذا الخطأ في الأصل المقصود بها أن تكون ميزة، مما يمنح مبرمجي منطق الأعمال الخلفية مرونة غير تقليدية في التعليمات البرمجية الخاصة بهم ، بينما يمنح عن غير قصد مهاجمي مجرمي الإنترنت فتحة خلفية قابلة للاستغلال لتنفيذ التعليمات البرمجية عن بُعد في نفس الوقت.

يُعرف الخطأ Log4j رسميًا باسم CVE-2021-44228 ، ولكن يُشار إليه باسم Log4Shell، هو أسوأ.

سمحت مجموعة أدوات التسجيل بالخطأ للمحتالين ليس فقط بالقول "البيانات التي أريدك أن تسجلها هي: this text here"، ولكن أيضًا لتضمين إرشادات التسجيل مثل:" البيانات التي أريد تسجيلها هي: (مرحبًا ، إليك عنوان URL للويب حيث ستجد برنامجًا قد يخبرك أو لا يخبرك ، لذا يرجى تنزيله بنفسك وتشغيل بالنسبة لي)".

إذا لم تتمكن من قراءة النص الموجود في الفيديو بوضوح هنا ، فحاول استخدام وضع ملء الشاشة ، أو مشاهدة مباشرة على يوتيوب. انقر فوق الترس في مشغل الفيديو لتسريع التشغيل أو لتشغيل الترجمة.

ماذا ستفعلين.. إذًا؟

إذا كنت لا تزال عالقًا في سياسات التصحيح على غرار 1999 التي تعتمد على السماح للشركات التي تتمتع باستعداد أفضل للأمن السيبراني بالانتقال أولاً ، والمشاهدة بحذر من الخطوط الجانبية ، ثم الانتظار لبضعة {أيام ، أسابيع ، شهور} أخرى أثناء قيام لجنة التحكم في التغيير باهتمامها إيجابيات وسلبيات…

... قد تحتاج إلى الحصول على لجنة مراقبة التغيير الخاصة بك لإجراء تغيير في لجنة مراقبة التغيير نفسها.

تحذر لجنة التجارة الفيدرالية (FTC) الشركات والموردين بشكل أساسي من أن بعض نقاط الضعف والتصحيحات مهمة بما يكفي بحيث لم يعد هناك مجال لها يقود أو يتبع أو يبتعد عن الطريق؛ هناك متسع فقط ل قيادة.

في كلمات Naked Security الخاصة التي تتكرر بانتظام: التصحيح في وقت مبكر ، التصحيح في كثير من الأحيان...

... سيحترمك عملاؤك (والمنظمون في بلدك) على ذلك!