Federal Ticaret Komisyonu (FTC), yetersiz veri güvenliği uygulamaları iddialarının ardından güvenlik kamerası firması Verkada’ya 2,95 milyon dolar ceza ödeyeceğini duyurdu.
Bu anlaşma, binlerce internet bağlantılı güvenlik kamerasından hassas bilgilerin ifşa edilmesine yol açan büyük bir veri ihlalinin ardından geldi.
FTC’nin İddiaları ve Yasal İşlemleri
Adalet Bakanlığı’nın (DOJ) FTC’ye sunduğu şikayette, Verkada’nın uygun bilgi güvenliği önlemlerini uygulamadığı ve bunun bir bilgisayar korsanının hassas video görüntülerine ve kişisel verilere erişmesine izin verdiği iddia ediliyor.
Aralık 2020 ile Mart 2021 arasında yaşanan ihlal, psikiyatri hastaneleri ve kadın sağlığı kliniklerindeki kameralar da dahil olmak üzere 150 binden fazla kamerayı etkiledi.
Bilgisayar korsanı, video görüntülerine ve müşterilerin fiziksel adresleri, WiFi kimlik bilgileri gibi bilgilerine erişti.
Veri güvenliği ihlallerinin yanı sıra FTC, Verkada’yı potansiyel müşterileri ticari e-postalarla boğarak CAN-SPAM Yasası’nı ihlal etmekle suçladı.
Bu e-postalarda abonelikten çıkma seçeneği gibi temel uyumluluk özellikleri eksikti ve devre dışı bırakma istekleri karşılanmıyordu.
Yanıltıcı İddialar ve Yanlış Beyanlar
Şikayette ayrıca Verkada’nın Sağlık Sigortası Taşınabilirliği ve Sorumluluk Yasası (HIPAA) ve AB-ABD Gizlilik Kalkanı çerçevesi de dahil olmak üzere veri koruma düzenlemelerine uyumu konusunda tüketicileri yanılttığı iddia ediliyor.
Verkada, “sınıfının en iyisi veri güvenliği araçları” kullandığını iddia etmesine rağmen uygulamaları bu standartların gerisinde kaldı.
What Does MITRE ATT&CK Expose About Your Enterprise Security? - Watch Free Webinar!
FTC ayrıca Verkada’nın, bazı olumlu çevrimiçi yorumların kendi çalışanları ve bir girişim sermayesi yatırımcısı tarafından yazıldığını açıklamadığını vurguladı.
Bu şeffaflık eksikliği, tüketicilerin şirketin ürünlerine ve uygulamalarına olan güvenini daha da aşındırdı.
Yerleşim ve Gelecekteki Yükümlülükler
Federal mahkeme onayı gerektiren önerilen emir uyarınca Verkada 2,95 milyon dolar ceza ödemek zorunda. Bu, FTC’nin CAN-SPAM Yasası ihlali için aldığı en büyük ceza.
Ayrıca Verkada’nın, veri koruma standartlarına uyumu garanti altına almak için üçüncü taraf denetimlerinden geçecek kapsamlı bir bilgi güvenliği programı geliştirmesi ve uygulaması gerekiyor.
Emir ayrıca Verkada’nın gizlilik ve veri güvenliği uygulamalarını yanlış tanıtmasını yasaklıyor ve CAN-SPAM Yasası’na uyulmasını zorunlu kılıyor. Bu önlemler gelecekteki ihlalleri önlemeyi ve tüketici verilerini daha etkili bir şekilde korumayı amaçlıyor.
Sektör Etkileri ve Resmi Açıklamalar
Bu vaka, özellikle güvenlik şirketleri açısından güçlü veri güvenliği önlemlerinin kritik önemini vurguluyor.
FTC Tüketici Koruma Bürosu Müdürü Samuel Levine, “Müşteriler, tüketicileri izlemek için şirketleri özel alanlara davet ettiğinde, bu şirketlerin temel düzeyde güvenlik sağlamasını bekliyorlar; ancak Verkada bunu başaramadı” dedi.
Adalet Bakanlığı Hukuk Bölümü Başkan Yardımcısı Brian M. Boynton, daha geniş kapsamlı etkilerin altını çizdi: “Bu anlaşma, güçlü veri güvenliği önlemlerinin önemini vurguluyor.
Hassas bilgilerin korunamaması tüketicileri riske atıyor.” FTC’nin Verkada’ya karşı aldığı karar, şirketlere yetersiz veri korumasının ve yanıltıcı tüketici uygulamalarının sonuçları konusunda sert bir hatırlatma niteliğinde.
Dijital ortam gelişmeye devam ederken, tüketici etkileşimlerinde sıkı güvenlik protokollerine ve şeffaflığa olan ihtiyaç büyük önem taşıyor.
FTC’nin rekabeti teşvik etme ve tüketicileri koruma yönündeki devam eden çabaları, şirketlerin veri güvenliği uygulamaları konusunda hesap vermesini sağlama konusundaki kararlılığını vurgulamaktadır.
Tüketicilerin hakları konusunda bilgi sahibi olmaları ve dolandırıcılık faaliyetlerini FTC’ye bildirmeleri teşvik edilmektedir.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial