Lições do caso Lenovo da FTC: preste atenção ao homem no meio

O Mágico de Oz estava certo: “Não preste atenção ao homem por trás da cortina”. Isso é porque de acordo com um Liquidação da FTCA empresa de computadores Lenovo deveria estar prestando atenção ao “homem no meio”. Nesse caso, o “homem no meio” foi pré-carregado de software injeto de anúncios que colocou as informações pessoais dos consumidores em risco de ataques prejudiciais ao meio-médio.

Quando as pessoas navegaram pela primeira vez em um site de compras com seus novos computadores da Lenovo, receberam um aviso pop-up único que dizia: “Explore compras com descoberta visual: seu navegador é ativado com descoberta visual que permite descobrir produtos visualmente semelhantes e melhores preços enquanto você compra”. O que foi o VisualDescovery? Era adware personalizado para as especificações da Lenovo do desenvolvedor de Palo Alto Superfish. E o que a descoberta visual fez? Sempre que um consumidor pairava sobre uma imagem do produto em um site de compras, a VisualDesCovery forneceria anúncios pop-up de produtos de aparência semelhante vendidos pelos parceiros de varejo da Superfish. Mas isso não é tudo.

Na direção da Lenovo, o Superfish modificou a descoberta visual, para que funcionasse em todos os navegadores, incluindo navegadores que os consumidores instalaram após a compra. Para fazer isso, o software incorporou uma ferramenta que comprometeu as precauções de segurança usadas por sites com conexões criptografadas. (Os consumidores reconhecem uma conexão criptografada pelos “s” no HTTPs: // url.) Você desejará ler a reclamação para obter detalhes, mas aqui está a versão abreviada do por que isso provou ser uma decisão fatídica.

Https: // Os sites usam certificados digitais como uma forma de credenciais eletrônicas apresentadas aos navegadores dos consumidores para ajudar a verificar se o site é autêntico e não um impostor. O VisualDiscovery, no entanto, substituiu os certificados digitais para https: // sites por seus próprios certificados. Os certificados do software enganaram o site e o navegador a acreditar que havia uma conexão direta e criptografada quando, de fato, o software estava se preparando como um homem no meio. Isso deu ao software acesso a todas as informações confidenciais que um consumidor transmitiu pela Internet, inclusive em sites criptografados. Além do mais, o software enviado aos superfiscos os URLs dos sites visitados pelos consumidores, endereços IP e um identificador exclusivo atribuído a cada laptop. E tudo o que aconteceu sem o conhecimento ou consentimento dos consumidores.

A denúncia alega que o status Man-in-the-Middle do software criou duas sérias vulnerabilidades de segurança. Primeiro, quando um consumidor visita um site com uma conexão não confiável – por exemplo, onde os hackers podem interceptar dados confidenciais – o consumidor deve receber um aviso. Mas todo esse acabamento com os certificados significava que os consumidores não receberam o alerta usual, colocando seus dados em risco e tornando inúteis uma forma fundamental de proteção oferecida pelos navegadores.

O software criou um risco adicional que colocou os dados pessoais dos consumidores em perigo. Para facilitar a funcionalidade desejada, o Superfish licenciou uma ferramenta de terceiros. Em vez de usar uma senha exclusiva para cada laptop, a ferramenta usou a mesma chave de criptografia privada com a mesma senha de fácil de adivinhar em todos os laptops instalados com descoberta visual. Depois que os bandidos quebraram a senha, eles poderiam segmentar todos os proprietários da Lenovo com descoberta visual instalada em seus laptops com ataques de man-in-the-middle para interceptar informações altamente sensíveis, como Seguro Social e números de contas, dados médicos, credenciais de login e email. A vulnerabilidade também tornou mais fácil para os invasores enganarem os consumidores a baixar malware em qualquer laptop Lenovo afetado. Quão fácil foi a senha para quebrar? Era o nome da empresa que vendeu a ferramenta, uma escolha tão óbvia que os pesquisadores de segurança conseguiram descobrir em menos de uma hora.

A contagem de uma denúncia alega que a Lenovo enganosamente falhou em divulgar que a descoberta visual atuaria como um homem no meio entre os consumidores e os sites com os quais se comunicaram, incluindo comunicações sensíveis em sites criptografados https: //. Essa contagem também alega que era enganoso não divulgar que o software enviasse dados de navegação dos consumidores para Superfish. Conte duas acusações de que era uma prática injusta para a Lenovo pré-instalar o software Man-in-the-Middle sem notificar os consumidores e obter seu consentimento informado. O Conde Three alega que a falha da Lenovo em tomar medidas razoáveis ​​para avaliar e abordar os riscos de segurança criados pelo software pré-instalado também era uma prática injusta.

A ordem proposta proíbe a Lenovo de fazer deturpações sobre uma série de recursos para certos softwares pré-instalados, incluindo se ele exibirá publicidade, incluindo anúncios pop-up ou transmitir informações pessoais dos consumidores. O pedido também impede a Lenovo de pré-instalar certos tipos de software sem primeiro obter o consentimento expresso afirmativo dos consumidores. Além disso, a Lenovo terá que implementar um programa abrangente de segurança de software. Você pode registrar um comentário público sobre o acordo proposto até 5 de outubro de 2017.

O que outras empresas podem aprender com o processo da Lenovo?

Quando se trata da privacidade das informações pessoais dos consumidores, a transparência é a melhor política. De acordo com a denúncia, a Lenovo teve problemas porque não contou aos consumidores – e não conseguiu seu consentimento – que a descoberta do visual interceptaria todas as suas comunicações na Internet, inclusive em sites sensíveis, e transmitissem certas informações de navegação aos superfisos. Alguns podem perguntar por que os consumidores não desativaram a descoberta visual. O problema era que a Lenovo nunca explicou claramente aos consumidores o que estava acontecendo nos bastidores – e atrás das telas. Entre outras coisas, a ordem proposta exige que a Lenovo tenha um mecanismo para os consumidores revogarem seu consentimento expresso, optando ou desativando o software coberto. As disposições do pedido se aplicam apenas a essa empresa, é claro, mas para qualquer empresa, explicando as coisas claramente e oferecendo opções fáceis de aumentar incentivar a lealdade do consumidor.

Considere os riscos de modificar os recursos de segurança existentes. Como o início da segurança deixa claro, os protocolos de segurança estão em vigor por um motivo e o macaco com eles pode ser arriscado. Verifique se qualquer software de terceiros que você inclua no seu produto não coloca em risco as informações pessoais dos consumidores.

Supervisionar seus fornecedores de software. Mesmo se você contratar fornecedores de terceiros, a segurança de seus produtos é sua responsabilidade. A denúncia alega que a falha da Lenovo em tomar medidas razoáveis ​​para avaliar e abordar os riscos de segurança criados pela instalação do software de terceiros foi uma prática injusta. Qual é a gorjeta da sua empresa para o seu negócio? Faça sua devida diligência. Antes de contratar fornecedores, verifique se eles são capazes de manter segurança razoável. Inclua disposições em seu contrato para lidar com a segurança. E conduza seus próprios testes ou insista que seus fornecedores fornecem documentação sólida, confirmando que eles fizeram seus próprios testes apropriados.

Source link

Photo of Rui Manuel Oliveira

Rui Manuel Oliveira

Artigos Relacionados

Elon Musk revela o mapa em forma de pênis da expansão de Tesla Robotaxi

14 minutos atrás

‘Crise do trabalho’: inferências básicas para graduados que combatem a IA no mercado de negócios | Inteligência Artificial (AI)

26 minutos atrás

A meta de Mark Zuckerberg investindo centenas de bilhões de bilhões

40 minutos atrás

Jogos em anos de ouro: milhões de idosos por que jogar videogames | Na verdade

48 minutos atrás
Botão Voltar ao Topo