Federal Ticaret Komisyonu (FTC), GoDaddy Inc.’in kapsamlı bir bilgi güvenliği programı geliştirmesini ve uygulamasını talep edeceğini duyurdu.
Bu karar, önde gelen web barındırma şirketinin sürekli olarak hizmetlerini yeterince güvence altına almada başarısız olduğu ve platformuna güvenen milyonlarca müşterinin güvenliğini riske attığı yönündeki iddialara yanıt olarak geldi.
GoDaddy’ye Yönelik Suçlamalar
FTC’nin şikayetine göre GoDaddy, 2018’den bu yana makul ve uygun güvenlik önlemlerini almayı ihmal ederek müşterilerini ve web sitesi ziyaretçilerini çeşitli güvenlik tehditlerine maruz bıraktı.
Komisyon, GoDaddy’nin müşterilerini veri güvenliği korumalarının kapsamı konusunda yanılttığını vurguladı. Şaşırtıcı bir şekilde beş milyon işletme GoDaddy’nin web barındırma özelliklerini kullanıyor ve bu da bu güvenlik hatalarının potansiyel etkisinin altını çiziyor.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
FTC Tüketiciyi Koruma Bürosu Direktörü Samuel Levine şunları söyledi: “Milyonlarca şirket, özellikle de küçük işletmeler, kendilerinin ve müşterilerinin güvendiği web sitelerinin güvenliğini sağlamak için GoDaddy gibi web barındırma sağlayıcılarına güveniyor.
FTC, GoDaddy gibi şirketlerin dünyanın her yerindeki tüketicileri korumak amacıyla güvenlik sistemlerini güçlendirmesini sağlamak için bugün harekete geçiyor.”
Güvenlik Arızaları ve İhlalleri
FTC’nin şikayeti, GoDaddy’nin güvenlik uygulamalarındaki bazı kritik eksiklikleri özetlemektedir.
Bunlar arasında yetersiz varlık ve yazılım yönetimi, paylaşılan barındırma hizmetlerine yönelik risklerin değerlendirilmemesi, güvenlikle ilgili olayların yetersiz günlüğe kaydedilmesi ve izlenmesi ve paylaşılan barındırma ortamları ile daha az güvenli alanlar arasında segmentasyon eksikliği yer alıyor.
Sonuç olarak, 2019 ile 2022 yılları arasında GoDaddy, müşteri web sitelerine ve hassas verilere yetkisiz erişime izin veren çok sayıda önemli güvenlik ihlali yaşadı.
Bu ihlaller yalnızca müşteri verilerini tehlikeye atmakla kalmadı, aynı zamanda web sitesi ziyaretçilerini kötü amaçlı sitelere yönlendirme de dahil olmak üzere potansiyel tehditlere maruz bıraktı.
FTC’nin bulguları, GoDaddy’nin web sitesinde ve pazarlama iletişimlerinde öne sürülen iddialar yoluyla güvenlik önlemlerini yanlış tanıttığını ve AB-ABD ve İsviçre-ABD Gizlilik Kalkanı Çerçeveleri de dahil olmak üzere çeşitli gizlilik düzenlemelerine uyduğunu belirttiğini öne sürüyor.
Bu endişeleri gidermek için FTC, GoDaddy’yi, Marriott International gibi diğer şirketlere karşı son davalarda uygulanan gereksinimlere benzer şekilde sağlam bir veri güvenliği programı benimsemeye zorlayan bir çözüm önerdi. Önerilen düzen birkaç temel direktifi içermektedir:
- Yanıltıcı İddia Yasağı: GoDaddy’nin güvenlik uygulamaları ve hükümet veya öz denetim standartlarına uygunluğu hakkında yanlış beyanda bulunması yasaklanacaktır.
- Güvenlik Tedbirlerinin Uygulanması: Şirket, web barındırma hizmetlerinin gizliliğini, bütünlüğünü ve güvenliğini korumaya yönelik bir bilgi güvenliği programı oluşturmalıdır.
- Üçüncü Taraf Değerlendirmesi: GoDaddy’nin, güvenlik programının ilk incelemesini ve ardından iki yılda bir yapılan değerlendirmeleri yürütmek üzere bağımsız bir değerlendirici görevlendirmesi gerekir.
FTC, önerilen onay anlaşmasının Federal Kayıt’ta yayınlanmasını takip edecek şekilde kamuya açık bir yorum dönemi ayarlayarak, bu gereklilikleri oybirliğiyle uygulamaya karar verdi.
Paydaşların görüş bildirmeleri için 30 günü olacak ve bu sürenin sonunda Komisyon kararı kesinleştirmeyi değerlendirecek. Emrin ihlali, 51.744 dolara kadar para cezasına yol açabilir.
FTC rekabeti teşvik etmeye ve tüketici çıkarlarını korumaya devam ederken, GoDaddy’ye karşı yapılan eylem, dijital ortamların ve tüketici verilerinin korunmasında güçlü siber güvenlik uygulamalarının öneminin kritik bir hatırlatıcısı olarak hizmet ediyor.
Komisyon, tüketicileri potansiyel riskler ve dolandırıcılık konusunda eğitirken, şirketleri veri koruma çabalarından sorumlu tutmaya kararlı olduğunu vurguluyor.
Jenkins & Jira’yı Kullanarak Uygulama Güvenliğini CI/CD İş Akışlarınıza Entegre Etme -> Ücretsiz Web Semineri