Тайваньский производитель сетевого и телекоммуникационного оборудования D-Link согласился пойти на мировую с Федеральной торговой комиссией США по иску от 2017 года, в котором ведомство обвинило компанию в искажении информации о безопасности ее устройств и игнорировании сообщений об уязвимостях. Как указала ФТК, производитель подвергает пользователей риску хакерских атак, оставляя вшитые учетные данные в прошивках устройств и мобильных приложений.
В рамках с ФТК D-Link обязалась внедрить новую практику обеспечения безопасности программного обеспечения, используемого в маршрутизаторах и подключенных к интернету камерах видеонаблюдения.
Программа должна соблюдать ряд ключевых требований, в частности, компания должна описывать, как та или иная функциональность повлияет на безопасность ее устройств; проводить моделирование угроз для выявления внешних и внутренних рисков безопасности передаваемых устройствами данных; с помощью автоматизированных инструментов проверять исходный код и проводить тестирование на предмет уязвимостей перед выпуском продукции на рынок; проводить регулярные проверки кода; внедрить механизм для устранения уязвимостей, обнаруженных на стадии разработки программного обеспечения, а также проводить постоянный мониторинг на предмет потенциальных уязвимостей в продуктах и реализовать механизм автоматического обновления прошивок оборудования.
Кроме того, компания должна обеспечить исследователям возможность предоставлять отчеты о найденных уязвимостях, назначить для этих целей контактное лицо и сформировать команду для проверки сообщений о проблемах.
Согласно соглашению, в случае прекращения поддержки устройств, производитель должен предупредить об этом владельцев затронутых моделей по меньшей мере за 60 дней.