Federal Ticaret Komisyonu (FTC), bilgisayar korsanlarının 150.000 internet bağlantılı kameradan canlı video yayınlarına erişmesine olanak tanıyan birden fazla güvenlik açığı nedeniyle güvenlik kamerası satıcısı Verkada’ya 2,95 milyon dolar ceza vermeyi teklif ediyor.
Kameraların birçoğu kadın sağlığı klinikleri, ruh ve sinir hastalıkları hastaneleri, cezaevleri ve okullar gibi hassas ortamlarda bulunuyordu.
FTC, Verkada’nın kameraları yetkisiz erişime karşı korumak için temel güvenlik önlemlerini uygulamada başarısız olmasının yanı sıra, yatırımcılar tarafından yapılan asılsız vaatler ve yapılan yorumlarla ürünlerin güvenliğini müşterilere yanlış tanıttığını iddia ediyor.
Ayrıca Verkada’nın, potansiyel müşterilere vazgeçme seçeneği sunmadan promosyon e-postaları göndererek CAN-SPAM Yasası’nı ihlal ettiği tespit edildi.
Güvenlik zaafları
Mart 2021’de bir grup hacker’ın (APT-69420 Arson Cats), Verkada’nın müşteri destek sunucusunda yönetici düzeyinde erişim sağlayan bir güvenlik açığından yararlandığı ortaya çıktı.
Bu yükseltilmiş ayrıcalıkları kötüye kullanan bilgisayar korsanları, 150.000 canlı kamera yayınına erişim sağlayan Verkada’nın Command platformuna erişti. Bilgisayar korsanları buradan birkaç gigabayt video görüntüsü, ekran görüntüsü ve müşteri ayrıntılarını çıkardı.
Verkada’nın iç sistemlerinde saatlerce dolaşan ve hiç kimsenin engelleme girişiminde bulunmadığı saldırının ardından, saldırganlar durumu medyaya bildirdi ve saldırının kanıtı olarak kaydedilmiş videoyu yayınladı.
Bu olaydan önce, Aralık 2020’de bir bilgisayar korsanı, Verkada’nın ağındaki eski bir aygıt yazılımı derleme sunucusundaki bir açığı kullanarak üzerine Mirai yükleyerek hizmet reddi (DoS) saldırıları başlattı.
Şikayette, kamera satıcısının, Amazon Web Services’ın (AWS) ihlal edilen sunucuda şüpheli aktiviteyi iki hafta sonra işaretlemesine kadar bu ihlali fark etmediği belirtiliyor.
FTC, Verkada’nın müşteri verilerini korumak için “sınıfının en iyisi veri güvenliği araçlarını ve en iyi uygulamaları” kullandığını iddia etmesinin yanıltıcı olduğunu ve gerçeği yansıtmadığını söylüyor.
Verkada, ürünlerinde karmaşık parolalar kullanılmasını talep etme, müşteri verilerinin saklandığı sırada şifrelenmesi ve güvenli ağ kontrolleri uygulanması gibi temel güvenlik önlemlerini uygulamadı.
Ayrıca Verkada’nın ürünlerinin Sağlık Sigortası Taşınabilirliği ve Sorumluluk Yasası (HIPAA) ve ayrıca AB-ABD ve İsviçre-ABD Gizlilik Kalkanı çerçevelerine uyumlu olduğu yönündeki iddiaları FTC’ye göre yanlış ve yanıltıcıdır.
Cezalar ve hükümler
Verkada’nın, gelecekte yasaya uyulmasının garantisi niteliğinde olan 2,95 milyon dolarlık bir ceza ödemesi gerekiyor.
Ayrıca şirket, kendi BT ekibinin ve bağımsız üçüncü tarafların düzenli güvenlik değerlendirmeleri yapacağı, güvenlik önlemlerini uygulayıp test edeceği ve çalışanlara veri güvenliği konusunda eğitimler düzenleyeceği kapsamlı bir güvenlik programı geliştirmeli ve uygulamalıdır.
Verkada’nın gelecekte gizliliğini, güvenlik uygulamalarını veya HIPAA ve Gizlilik Kalkanı gibi standartlara uyumunu yanlış tanıtması yasaktır.
Verkada, önümüzdeki 20 yıl boyunca herhangi bir siber güvenlik olayını başka bir ABD hükümet kuruluşuna bildirdikten sonra 10 gün içinde olayın tüm ayrıntılarını da ekleyerek FTC’ye bildirmek zorunda kalacak.
Son olarak Verkada’nın ticari e-postalarına artık kullanıcıların istedikleri zaman abonelikten çıkabilmeleri için abonelikten çıkma seçenekleri de eklenecek.
Emrin tamamı ve FTC’nin talepleri, düzenlenen emir belgesinde yer almaktadır.
Verkada, Cuma günü yaptığı açıklamada, FTC’nin iddialarına katılmadığını ancak anlaşmanın şartlarını kabul ettiğini söyledi.