Federal Ticaret Komisyonu (FTC), çok sayıda güvenlik açığının bilgisayar korsanlarının internet bağlantılı kameralardan canlı video yayınlarına erişmesine olanak tanımasının ardından, güvenlik kamerası tedarikçisi Verkada’nın bir anlaşma kapsamında kapsamlı bir bilgi güvenliği programı oluşturmasını talep etti.
Kadın sağlığı klinikleri, ruh ve sinir hastalıkları hastaneleri, cezaevleri ve okullar gibi hassas ortamlarda çok sayıda kamera bulunuyordu.
FTC, Verkada’nın kameraları yetkisiz erişime karşı korumak için temel güvenlik önlemlerini uygulamada başarısız olmasının yanı sıra, yatırımcılar tarafından yapılan asılsız vaatler ve yapılan yorumlarla ürünlerin güvenliğini müşterilere yanlış tanıttığını iddia ediyor.
Ayrıca Verkada’nın, potansiyel müşterilere herhangi bir abonelikten çıkma seçeneği sunmadan onları promosyon e-postalarıyla bombardımana tutarak CAN-SPAM Yasası’nı ihlal ettiği tespit edildi.
Şirket, geçmişteki e-posta pazarlama kampanyaları için 2,95 milyon dolarlık bir anlaşma yapmayı kabul etti.
Güvenlik zaafları
Mart 2021’de bir grup hacker’ın (APT-69420 Arson Cats), Verkada’nın müşteri destek sunucusunda yönetici düzeyinde erişim sağlayan bir güvenlik açığından yararlandığı ortaya çıktı.
Bu üstün ayrıcalıkları kötüye kullanan bilgisayar korsanları, FTC’nin 150.000 canlı kamera yayınına erişim sağladığını söylediği Verkada’nın Komuta platformuna eriştiler.
Bilgisayar korsanları erişilen kameralardan birkaç gigabaytlık video görüntüsü, ekran görüntüsü ve müşteri bilgilerini çıkardı.
Verkada, 2021 olayının orijinal özetinde, saldırı sırasında bilgisayar korsanlarının şirketin müşteri tabanının yüzde ikisinden daha azını oluşturan 97 müşterinin kameralarına eriştiğini ve görüntü verilerini görüntülediğini belirtiyor.
Verkada’nın iç sistemlerinde saatlerce dolaşan ve hiç kimsenin engelleme girişiminde bulunmadığı saldırının ardından, saldırganlar durumu medyaya bildirdi ve saldırının kanıtı olarak kaydedilmiş videoyu yayınladı.
Bu olaydan önce, Aralık 2020’de bir bilgisayar korsanı, Verkada’nın ağındaki eski bir aygıt yazılımı derleme sunucusundaki bir açığı kullanarak üzerine Mirai’yi kurmuş ve hizmet reddi (DoS) saldırıları başlatmıştı.
Şikayette, kamera satıcısının, Amazon Web Services’ın (AWS) ihlal edilen sunucuda şüpheli aktiviteyi iki hafta sonra işaretlemesine kadar bu ihlali fark etmediği belirtiliyor.
FTC, Verkada’nın müşteri verilerini korumak için “sınıfının en iyisi veri güvenliği araçlarını ve en iyi uygulamaları” kullandığını iddia ederek aldatıcı olduğunu ve gerçeği yansıtmadığını söylüyor.
Verkada, ürünlerinde karmaşık parolalar kullanılmasını talep etme, müşteri verilerinin saklandığı sırada şifrelenmesi ve güvenli ağ kontrolleri uygulanması gibi temel güvenlik önlemlerini uygulamadı.
Ayrıca Verkada’nın ürünlerinin Sağlık Sigortası Taşınabilirliği ve Sorumluluk Yasası (HIPAA) ve ayrıca AB-ABD ve İsviçre-ABD Gizlilik Kalkanı çerçevelerine uyumlu olduğu yönündeki iddiaları FTC’ye göre yanlış ve yanıltıcıdır.
Cezalar ve hükümler
Verkada, geçmişteki e-posta pazarlama kampanyaları nedeniyle FTC ile 2,95 milyon dolar tutarında bir anlaşma yapmayı kabul etti.
Ayrıca şirket, kendi BT ekibinin ve bağımsız üçüncü tarafların düzenli güvenlik değerlendirmeleri yapacağı, güvenlik önlemlerini uygulayıp test edeceği ve çalışanlara veri güvenliği konusunda eğitimler düzenleyeceği kapsamlı bir güvenlik programı geliştirmeli ve uygulamalıdır.
Verkada’nın gelecekte gizliliğini, güvenlik uygulamalarını veya HIPAA ve Gizlilik Kalkanı gibi standartlara uyumunu yanlış tanıtması yasaktır.
Verkada, önümüzdeki 20 yıl boyunca herhangi bir siber güvenlik olayını başka bir ABD hükümet kuruluşuna bildirdikten sonra 10 gün içinde olayın tüm ayrıntılarını da ekleyerek FTC’ye bildirmek zorunda kalacak.
Son olarak Verkada’nın ticari e-postalarına artık kullanıcıların istedikleri zaman abonelikten çıkabilmeleri için abonelikten çıkma seçenekleri de eklenecek.
Emrin tamamı ve FTC’nin talepleri, düzenlenen emir belgesinde yer almaktadır.
Verkada, Cuma günü yaptığı açıklamada, FTC’nin iddialarına katılmadığını ancak anlaşmanın şartlarını kabul ettiğini söyledi.