Bulut Güvenliği, Mevzuat ve Dava, Güvenlik Operasyonları
Bulut Tabanlı Güvenlik Kamerası Şirketi ABD FTC Uzlaşmasında Daha İyi Güvenlik Sözü Verdi
Marianne Kolbass McGee (SağlıkBilgiGüvenliği) •
30 Ağustos 2024
Kaliforniya’daki bir güvenlik kamerası şirketi, 2021 yılında bilgisayar korsanlarının psikiyatri hastaneleri ve kadın sağlık klinikleri de dahil olmak üzere 150.000 internete bağlı güvenlik kamerasından videolara erişmesinin ardından, ABD federal anti-spam yasasını ihlal ettiği gerekçesiyle 2,95 milyon dolarlık bir ceza ödemeyi ve kapsamlı bir güvenlik programı uygulamayı kabul etti.
Ayrıca bakınız: Wipro ve AWS, Bulut Çağında Uyumluluğu Ele Almak İçin Bir Araya Geliyor
ABD Federal Ticaret Komisyonu’nun San Mateo merkezli Verkada’ya karşı hazırladığı şikayette, şirketin potansiyel müşterileri çok sayıda ticari e-postayla boğarak, abonelikten çıkma veya vazgeçme seçeneği sunmayarak, vazgeçme taleplerini yerine getirmeyerek ve e-postalarda fiziksel posta adresi sağlamayarak CAN-SPAM Yasası’nı (İstenmeyen Pornografi ve Pazarlamanın Kontrol Altına Alınması Yasası) ihlal ettiği iddia ediliyor.
FTC ayrıca şirketin, güvenlik kameraları aracılığıyla toplanan müşterilerin ve tüketicilerin kişisel bilgilerini korumak için uygun bilgi güvenliği uygulamalarını kullanmadığını iddia ediyor.*
CAN-SPAM Yasası ihlalleri için milyonlarca dolarlık mali cezanın yanı sıra, şirket tarafından kabul edilen bir rıza emri, onu kapsamlı bir güvenlik programı uygulamaya ve önümüzdeki yirmi yıl boyunca FTC’ye yıllık risk değerlendirmeleri sunmaya mecbur ediyor. Emrin hala bir federal yargıç tarafından onaylanması gerekiyor.
Verkada’nın birincil ürünleri, Amazon Web Services’ın bulut tabanlı depolamasını kullanarak müşteri verilerini ve arşivlenmiş video görüntülerini depolayan IP özellikli güvenlik kameralarıdır. Ajans, şirketin 2019 ile 2021 yılları arasında 240.000’den fazla güvenlik kamerası sattığını söyledi.
Verkada’nın iddia edilen gevşek güvenliği, benzersiz ve karmaşık parolalar gerektirmeme, müşteri verilerini yeterli şekilde şifrelememe ve güvenli ağ kontrolleri uygulamama gibi hususları içeriyordu. Bu güvenlik arızalarının bir sonucu olarak Verkada, Aralık 2020 ile Mart 2021 arasında en az iki güvenlik ihlali yaşadı.
Mart 2021’deki veri ihlalinde, bir bilgisayar korsanı 150.000’den fazla internete bağlı Verkada kamerasından alınan video görüntülerinin yanı sıra fiziksel adresler, ses kayıtları ve müşteri Wi-Fi kimlik bilgileri gibi diğer müşteri bilgilerine de erişti (bkz: Startup, İnternet Bağlantılı Güvenlik Kameralarının Hacklenmesini Soruşturuyor).
FTC, “Davetsiz misafir, 150.000’den fazla canlı müşteri kamerasına erişti ve hastane yataklarında yatan hastalar da dahil olmak üzere psikiyatri hastanelerindeki hastaları ve kadın sağlık kliniklerini, bir odada oynayan küçük çocukları ve hücrelerindeki tutukluları görüntüledi” dedi.
FTC, Aralık 2020 ihlalinde, bir çalışanın sunucu için orijinal güvenlik ayarlarını geri yüklemeyi başaramaması üzerine bir bilgisayar korsanının eski bir aygıt yazılımı derleme sunucusundaki bir güvenlik açığını kullandığını söyledi. Bilgisayar korsanları, sunucuya Mirai botnet yazılımını yükledi ve “sunucuyu silahlandırarak diğer üçüncü taraf internet adreslerine karşı hizmet reddi saldırıları başlatmak da dahil olmak üzere kötü amaçlı faaliyetlerde bulundu. Davalı, AWS güvenliği etkinliği iki haftadan uzun bir süre sonra işaretleyene kadar sunucunun tehlikeye atıldığının farkında değildi.”
Verkada, Cuma günü yaptığı açıklamada, FTC’nin iddialarına katılmadığını ancak “misyonumuza devam edebilmek ve insanları ve yerleri gizliliğe duyarlı bir şekilde korumaya odaklanabilmek için” anlaşmanın şartlarını kabul ettiğini söyledi.
Açıklamada, “Verkada’nın veri güvenliği duruşunu güçlendirmeye öncelik vermeye devam ediyoruz” denildi.
Kurum, şikayetinde Verkada’nın adlar, fiziksel adresler, müşteri kullanıcı adları ve parola karmaları, müşteri site kat planları ve müşteri Wi-Fi kimlik bilgileri dahil olmak üzere çeşitli müşteri bilgilerini topladığını ve sakladığını belirtti.
FTC, şirketin güvenlik kameralarının topladığı video görüntülerinin “tüketicilerin ve tüketicilere ilişkin görünür tıbbi kayıtlar gibi diğer hassas kişisel bilgilerin kayıtlarını içerebileceğini” söyledi.
FTC, “Tüketicilerin bu şekilde yakalanması, kişinin belirli bir konumda bulunmasının kişisel bilgilerini açığa çıkarması nedeniyle doğası gereği hassastır. Örneğin, bir tüketicinin psikiyatri hastanesinde yakalanması, söz konusu tüketicinin ruh sağlığı hizmetleri aradığını güçlü bir şekilde düşündürmektedir” dedi.
Canlı gözetim yeteneklerinin yanı sıra, Verkada’nın güvenlik kameraları, müşterilerin güvenlik kameraları tarafından kaydedilen veya şirketin Command platformuna yüklenen tüm tüketicilerin yüksek çözünürlüklü görüntülerini görüntülemesine olanak tanıyan People Analytics özelliklerini içerir. Bu, kullanıcıların toplanan görüntüleri cinsiyete veya giyim rengine göre filtrelemesine ve yüz tanıma veya yüz eşleştirme teknolojisi aracılığıyla görüntüleri aramasına olanak tanır.
Komisyon, önerilen muvafakat kararını 5-0 oyla destekledi.
*3 Eylül 2024 16:17 UTC düzeltmesi: 2,95 milyon dolarlık sivil cezanın yalnızca CAN-SPAM Yasası’nın iddia edilen ihlalleri için olduğunu yansıtacak şekilde düzeltildi. Verkada, bilgi güvenliği programının önümüzdeki yirmi yıl boyunca izlenmesini kabul ederek zayıf siber güvenlik iddialarını çözüyor.