Verkada
美國聯邦交易委員會(Federal Trade Commission,FTC)上周要求美國監控公司Verkada支付295萬美元的罰款,以及必須制定與實施全面的資訊安全計畫,有不少媒體以為Verkada之所以受罰是因為Verkada在2021年被駭,曝露了15萬臺的監視器畫面,不過,FTC處罰Verkada的原因是該公司亂發垃圾郵件。
Verkada為一雲端監控公司,駭客則是在2021年3月入侵Verkada平臺,存取了97家Verkada客戶位於全球的15萬臺監視器的畫面,包括特斯拉(Tesla)倉庫及工廠的222個監視器,以及阿拉巴馬州監獄的330個監視器。
隨後Verkada解釋,曝露於網路上的客戶支援伺服器有一個配置錯誤,駭客藉由該錯誤進入伺服器後發現了客戶支援的管理憑證,再用它來登入客戶支援介面,即可利用內部支援功能來存取客戶的監視裝置。Verkada強調,該公司有6,000家客戶,受到危害的比例不到2%,此外,在得知監控畫面曝光的兩個小時內,Verkada就切斷了駭客的存取權限。
FTC上周表示,將要求Verkada制定與實施全面的資訊安全計畫,以解決該公司未能採取適當資訊安全實踐的指控,此外,也將要求Verkada支付290萬美元的罰款。不過,受罰原因是Verkada以大量電子郵件淹沒潛在客戶,而且沒有提供取消訂閱或退出的選項,也未能於電子郵件中提供實際的郵寄地址,違反美國的CAN-SPAM Act垃圾郵件法案。
Verkada也發表了聲明,指出該公司並不同意FTC的指控,但接受FTC所提出的和解條款。
有趣的是,即使不管是FTC的新聞稿或Verkada的聲明,都說Verkada並非因安全意外而受罰,但不少媒體都以為Verkada的受罰是因為安全措施不足,例如BleepingComputer或BankInfoSecurity。
此外,295萬美元也是FTC迄今就CAN-SPAM Act違規行為所開發的最高罰單。
熱門新聞
2024-11-25
2024-11-25
2024-11-25
2024-11-24
2024-11-25
2024-11-22
2024-11-24