Bulut Güvenliği, Mevzuat ve Dava, Güvenlik Operasyonları
Bulut Tabanlı Güvenlik Kamerası Şirketi ABD FTC Uzlaşmasıyla Daha İyi Güvenlik Taahhüdü Verdi
Marianne Kolbass McGee (SağlıkBilgiGüvenliği) •
30 Ağustos 2024
Kaliforniya’daki bulut tabanlı bir güvenlik kamerası şirketi, 2021 yılında bilgisayar korsanlarının psikiyatri hastaneleri ve kadın sağlık klinikleri içine yerleştirilen cihazlar da dahil olmak üzere 150.000 internete bağlı güvenlik kamerasından videolara erişmesinin ardından 2,95 milyon dolarlık bir idari para cezası ödemeyi ve kapsamlı bir güvenlik programı uygulamayı kabul etti.
Ayrıca bakınız: Wipro ve AWS, Bulut Çağında Uyumluluğu Ele Almak İçin Bir Araya Geliyor
ABD Federal Ticaret Komisyonu’nun San Mateo merkezli Verkada’ya yönelik şikayetinde, şirketin güvenlik kameraları aracılığıyla toplanan müşterilerin ve tüketicilerin kişisel bilgilerini korumak için uygun bilgi güvenliği uygulamalarını kullanmadığı iddia ediliyor.
Milyonlarca dolarlık mali cezanın yanı sıra, şirket tarafından kabul edilen bir rıza emri, onu kapsamlı bir güvenlik programı uygulamaya ve önümüzdeki yirmi yıl boyunca FTC’ye yıllık risk değerlendirmeleri sunmaya mecbur kılıyor. Emrin hala bir federal yargıç tarafından onaylanması gerekiyor.
Önerilen rıza emri ayrıca Verkada’nın potansiyel müşterileri ticari e-postalarla doldurarak ve abonelikten çıkma veya vazgeçme seçeneğini eklemeyerek federal anti-spam e-posta korumalarını ihlal ettiği iddialarını da çözüyor. Şirket ayrıca vazgeçme taleplerini yerine getirmedi ve e-postalarda fiziksel bir posta adresi sağlamadı, FTC söyledi.
Verkada’nın birincil ürünü, Amazon Web Services’ın bulut tabanlı depolamasını kullanarak müşteri verilerini ve arşivlenmiş video görüntülerini depolayan IP özellikli güvenlik kameralarıdır. Kurum, Davalının 2019 ile 2021 yılları arasında 240.000’den fazla güvenlik kamerası sattığını söyledi.
Verkada’nın iddia edilen gevşek güvenliği, benzersiz ve karmaşık parolalar gerektirmeme, müşteri verilerini yeterli şekilde şifrelememe ve güvenli ağ kontrolleri uygulamama gibi hususları içeriyordu. Bu güvenlik arızalarının bir sonucu olarak Verkada, Aralık 2020 ile Mart 2021 arasında en az iki güvenlik ihlali yaşadı.
Mart 2021’deki veri ihlalinde, bir bilgisayar korsanı 150.000’den fazla internete bağlı Verkada kamerasından alınan video görüntülerinin yanı sıra fiziksel adresler, ses kayıtları ve müşteri WiFi kimlik bilgileri gibi diğer müşteri bilgilerine de erişti (bkz: Startup, İnternet Bağlantılı Güvenlik Kameralarının Hacklenmesini Soruşturuyor).
FTC, “Davetsiz misafir, 150.000’den fazla canlı müşteri kamerasına erişti ve hastane yataklarında yatan hastalar da dahil olmak üzere psikiyatri hastanelerindeki hastaları ve kadın sağlık kliniklerini, bir odada oynayan küçük çocukları ve hücrelerindeki tutukluları görüntüledi” dedi.
FTC, Aralık 2020 ihlalinde, bir çalışanın sunucu için orijinal güvenlik ayarlarını geri yüklemeyi başaramaması üzerine bir bilgisayar korsanının eski bir aygıt yazılımı derleme sunucusundaki bir güvenlik açığından yararlandığını söyledi. Bilgisayar korsanları, sunucuya Mirari botnet yazılımını yükledi ve “sunucuyu silahlandırarak diğer üçüncü taraf internet adreslerine karşı hizmet reddi saldırıları başlatmak da dahil olmak üzere kötü amaçlı faaliyetlerde bulundu. Davalı, AWS güvenliği etkinliği iki haftadan uzun bir süre sonra işaretleyene kadar sunucunun tehlikeye atıldığının farkında değildi.”
Verkada, Cuma günü yaptığı açıklamada, FTC’nin iddialarına katılmadığını ancak “misyonumuza devam edebilmek ve insanları ve yerleri gizliliğe duyarlı bir şekilde korumaya odaklanabilmek için” anlaşmanın şartlarını kabul ettiğini söyledi.
Açıklamada, “Verkada’nın veri güvenliği duruşunu güçlendirmeye öncelik vermeye devam ediyoruz” denildi.
Kurum, şikayetinde Verkada’nın adlar, fiziksel adresler, müşteri kullanıcı adları ve parola karmaları, müşteri site kat planları ve müşteri Wi-Fi kimlik bilgileri dahil olmak üzere çeşitli müşteri bilgilerini topladığını ve sakladığını belirtti.
FTC, şirketin güvenlik kameralarının topladığı video görüntülerinin “tüketicilerin ve tüketicilere ilişkin görünür tıbbi kayıtlar gibi diğer hassas kişisel bilgilerin kayıtlarını içerebileceğini” söyledi.
FTC, “Tüketicilerin bu şekilde yakalanması, kişinin belirli bir konumda bulunmasının kişisel bilgilerini açığa çıkarması nedeniyle doğası gereği hassastır. Örneğin, bir tüketicinin psikiyatri hastanesinde yakalanması, söz konusu tüketicinin ruh sağlığı hizmetleri aradığını güçlü bir şekilde düşündürmektedir” dedi.
Canlı gözetim yeteneklerinin yanı sıra, Verkada’nın güvenlik kameraları, müşterilerin güvenlik kameraları tarafından kaydedilen veya şirketin Command platformuna yüklenen tüm tüketicilerin yüksek çözünürlüklü görüntülerini görüntülemelerine olanak tanıyan “Kişi Analitiği” özelliklerini içerir. Bu, kullanıcıların toplanan görüntüleri cinsiyete veya giyim rengine göre filtrelemesine ve yüz tanıma veya yüz eşleştirme teknolojisi aracılığıyla görüntüleri aramasına olanak tanır.
Komisyon, önerilen muvafakat kararını 5-0 oyla destekledi.