La Comisión Federal de Comercio (FTC) propone una multa de 2,95 millones de dólares contra el proveedor de cámaras de seguridad Verkada por múltiples fallas de seguridad que permitieron a los piratas informáticos acceder a transmisiones de video en vivo desde 150.000 cámaras conectadas a Internet.
Muchas cámaras se colocaron en entornos sensibles, como clínicas de salud para mujeres, hospitales psiquiátricos, prisiones y escuelas.
FTC presunto que Verkada no solo no implementó medidas de seguridad básicas para proteger las cámaras del acceso no autorizado, sino que también tergiversó la seguridad del producto a los clientes con promesas y reseñas sin fundamento enviadas por inversores.
Además, Verkada fue declarado culpable de violar la Ley CAN-SPAM al bombardear a clientes potenciales con correos electrónicos promocionales sin darles la oportunidad de darse de baja.
Violaciones de seguridad
En marzo de 2021, se reveló que un grupo de piratas informáticos (APT-69420 Arson Cats) había explotado una vulnerabilidad en el servidor de atención al cliente de Verkada, que proporcionaba acceso a nivel de administrador.
Al abusar de estos privilegios elevados, los piratas informáticos obtuvieron acceso a la plataforma Command de Verkada, que abrió el acceso a 150.000 transmisiones de cámaras en vivo. De allí, los piratas informáticos extrajeron varios gigabytes de secuencias de vídeo, capturas de pantalla y datos de clientes.
Después de muchas horas de explorar los sistemas internos de Verkada sin que nadie intentara bloquearlos, los propios piratas informáticos informaron de la infracción a los medios y publicaron un vídeo grabado como prueba del hackeo.
Antes de este incidente, en diciembre de 2020, un pirata informático aprovechó una vulnerabilidad en un servidor de compilación de firmware heredado dentro de la red de Verkada e instaló Mirai allí para lanzar ataques de denegación de servicio (DoS).
El proveedor de la cámara no se dio cuenta del compromiso hasta dos semanas después, cuando Amazon Web Services (AWS) informó actividad sospechosa en el servidor pirateado. queja Observaciones.
La FTC dice que al afirmar que utiliza “las mejores herramientas y mejores prácticas de seguridad de datos” para proteger los datos de los clientes, Verkada es engañosa y no representa la verdad.
Específicamente, Verkada no implementó medidas de seguridad básicas en sus productos, como exigir el uso de contraseñas complejas, cifrar los datos en reposo de los clientes e implementar controles de red seguros.
Además, las afirmaciones de Verkada de que sus productos cumplen con la Ley de Responsabilidad y Portabilidad de Seguros Médicos (HIPAA), así como con los Marcos de Protección de Datos Unis UE-EE.UU. y Suiza-EE.UU., son falsas y engañosas según la FTC.
Sanciones y disposiciones
Se ordena a Verkada pagar una multa civil de 2,95 millones de dólares destinada a garantizar el cumplimiento futuro de la ley.
Además, la empresa debe desarrollar e implementar un programa de seguridad integral bajo el cual su propio equipo de TI, así como terceros independientes, realizarán evaluaciones de seguridad periódicas, implementarán y probarán medidas de protección y organizarán la capacitación de los empleados sobre la seguridad de los datos.
Verkada tiene prohibido tergiversar su privacidad, prácticas de seguridad o cumplimiento de estándares como HIPAA y Privacy Shield en el futuro.
Durante los próximos 20 años, Verkada deberá informar cualquier incidente de ciberseguridad a la FTC dentro de los 10 días posteriores a la notificación a otra entidad del gobierno de EE. UU., adjuntando todos los detalles del incidente.
Finalmente, los correos electrónicos comerciales de Verkada ahora deberían incluir opciones para cancelar la suscripción para que los usuarios puedan cancelar la suscripción fácilmente si lo desean.
La orden completa y las solicitudes de la FTC se pueden encontrar en el orden estipulada documento.
En una declaración hecha el viernes, Verkada dice que, aunque no estuvo de acuerdo con las acusaciones de la FTC, aceptó los términos del acuerdo.