FTC起訴D-Link未能保護其路由器和IP攝像頭免受黑客攻擊

美國貿易監督機構起訴了總部位于臺灣的D-link，稱其安全措施松懈，產品容易受到黑客攻擊。

周四，聯邦貿易委員會（FTC）對D-Link提起訴訟（pdf），稱該公司未能在其路由器和互聯網連接的安全攝像頭中實施必要的安全保護，導致“數千名消費者面臨黑客攻擊的風險”。

 此舉正值網絡犯罪分子劫持安全性差的互聯網連接設備，發動大規模DDoS攻擊，迫使主要網站離線之際。

 兩個多月前，一個被稱為Mirai的討厭的物聯網僵尸網絡被發現感染路由器、網絡攝像頭和DVR，這些路由器、攝像頭和DVR使用弱默認密碼構建，然后使用它們攻擊DDoS主要互聯網服務。

 受歡迎的Dyn DNS提供商是基于Mirai的攻擊的受害者之一，該攻擊摧毀了許多用戶的整個互聯網。

為了解決這個問題，一方面，廣受歡迎的網絡設備提供商Netgear推出了一個漏洞懸賞計劃，邀請研究人員和黑客發現并負責報告其硬件、移動應用程序和API中的安全漏洞，獲得150至15000美元不等的現金獎勵。

但另一方面，D-Link被指控違反了幾項FTC法案，包括：

• 在路由器和IP攝像頭用戶界面以及宣傳材料中偽造安全信息。
• 謊稱已采取合理措施保護其設備免受眾所周知且易于預防的安全漏洞的影響，如“硬編碼”用戶憑據和命令注入漏洞，這將允許任何遠程攻擊者獲得對其設備的未經授權訪問。
• 未能保護其軟件。

根據舊金山聯邦法院提起的申訴，友訊不安全的產品允許黑客“監視消費者的下落，針對他們的盜竊或其他犯罪行為。”

幾名安全研究人員和黑客在過去一年中發現了D-Link產品中的嚴重缺陷，雖然一些人對該公司解決該問題感到滿意，但其他人披露了未修補的缺陷，因為該公司未能及時發布固件更新。

作為對投訴的回應，D-Link發布了一份聲明，稱對其提出的指控“毫無根據，毫無根據”，公司將“積極為自己辯護”。D-Link補充道，聯邦貿易委員會“未能聲稱（它必須）實際消費者遭受或可能遭受實際的實質性傷害”。

由于物聯網威脅的增加，委員會正在采取必要措施保護物聯網設備。

FTC早在2015年就引入了保護物聯網設備（或“打算”）的指導方針，最近還為公眾發起了一場“大獎賽”，旨在找到一些保護物聯網設備的技術解決方案。比賽的獲勝者將獲得25000美元的獎金。