La Federal Trade Commission (FTC) propose une pénalité de 2,95 millions de dollars au fournisseur de caméras de sécurité Verkada pour de multiples failles de sécurité qui ont permis aux pirates d’accéder aux flux vidéo en direct de 150 000 caméras connectées à Internet.

De nombreuses caméras étaient situées dans des environnements sensibles, tels que des cliniques de santé pour femmes, des hôpitaux psychiatriques, des prisons et des écoles.

La FTC allègue que Verkada non seulement n’a pas mis en œuvre les mesures de sécurité de base pour protéger les caméras contre les accès non autorisés, mais a également déformé la sécurité des produits auprès des clients avec des promesses non fondées et des critiques soumises par les investisseurs.

De plus, Verkada a été jugée en violation de la Loi CAN-SPAM en bombardant les aspirants clients d’e-mails promotionnels sans leur donner d’options de désinscription.

Défaillances de sécurité
En mars 2021, il a été révélé qu’un groupe de pirates informatiques (APT-69420 Arson Cats) avait exploité une vulnérabilité du serveur d’assistance client de Verkada, qui fournissait un accès de niveau administrateur.

Abusant de ces privilèges élevés, les pirates ont accédé à la plate-forme de commande de Verkada, qui a ouvert l’accès à 150 000 flux de caméras en direct. À partir de là, les pirates ont extrait plusieurs gigaoctets de séquences vidéo, de captures d’écran et de détails sur les clients.

Après de nombreuses heures d’itinérance dans les systèmes internes de Verkada sans que personne ne tente de les bloquer, les pirates ont signalé eux-mêmes la violation aux médias et ont publié une vidéo enregistrée comme preuve du piratage.

Avant cet incident, en décembre 2020, un pirate informatique a exploité une faille dans un ancien serveur de génération de micrologiciel au sein du réseau de Verkada installé Mirai dessus pour lancer des attaques par déni de service (DoS).

Le fournisseur de caméras ne s’est rendu compte de la compromission que deux semaines plus tard, lorsqu’Amazon Web Services (AWS) a signalé une activité suspecte sur le serveur piraté, indique la plainte.

La FTC affirme qu’en prétendant utiliser « les meilleurs outils de sécurité des données et les meilleures pratiques » pour protéger les données des clients, Verkada est trompeur et non représentatif de la vérité.

Plus précisément, Verkada n’a pas mis en œuvre de mesures de sécurité de base sur ses produits, telles que l’utilisation de mots de passe complexes, le cryptage des données client au repos et la mise en œuvre de contrôles réseau sécurisés.

De plus, les affirmations de Verkada selon lesquelles ses produits sont conformes à la Health Insurance Portability and Accountability Act (HIPAA) ainsi qu’aux cadres du bouclier de protection des données UE-États-Unis et Suisse-États-Unis sont fausses et trompeuses selon la FTC.

Sanctions et dispositions
Verkada est tenu de payer une pénalité civile de 2,95 millions de dollars destinée à servir de garantie pour le respect futur de la loi.

En outre, l’entreprise doit élaborer et mettre en œuvre un programme de sécurité complet selon lequel sa propre équipe informatique ainsi que des tiers indépendants procéderont régulièrement à des évaluations de sécurité, mettront en œuvre et testeront des garanties et organiseront une formation des employés sur la sécurité des données.

Il est interdit à Verkada de déformer sa confidentialité, ses pratiques de sécurité ou sa conformité aux normes telles que HIPAA et le Bouclier de protection des données à l’avenir.

Au cours des 20 prochaines années, Verkada devra signaler tout incident de cybersécurité à la FTC dans les 10 jours suivant la notification à une autre entité du gouvernement américain, en joignant tous les détails de l’incident.

Enfin, les courriels commerciaux de Verkada devraient désormais inclure des options de désabonnement afin que les utilisateurs puissent facilement se désinscrire s’ils le souhaitent.

La commande complète et les demandes de la FTC se trouvent dans le document de commande stipulé.

Dans un communiqué publié vendredi, Verkada a déclaré que, tout en n’étant pas d’accord avec les allégations de la FTC, il avait accepté les termes du règlement.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *