FTC警告:企業若未能修補Log4j漏洞則將可能要面臨法律後果
美聯邦貿易委員會(FTC)警告稱,如果美國企業未能保護客戶數據免受Log4Shell(廣泛使用的Log4j Java日誌庫中的一個零日漏洞)的影響,那麼可能要面臨法律後果。
在本週的一份警報中,改消費者保護機構警告稱,12月首次發現的這個“嚴重”漏洞正在被越來越多的攻擊者利用,另外還對數百萬消費者產品構成“嚴重風險”。這封公開信敦促各組織緩解該漏洞以減少對消費者造成傷害的可能性並避免潛在的法律行動。
該機構說道:“當漏洞被發現和利用時,它有可能造成個人信息的丟失或洩露、財務損失和其他不可逆轉的傷害。採取合理措施減輕已知軟件漏洞的責任牽涉到法律,包括《聯邦貿易委員會法》和《格雷姆-里奇-比利雷法案》。 至關重要的是,依賴Log4j的公司及其供應商現在就要採取行動以減少對消費者造成傷害的可能性並避免來自FTC的法律行動。”
FTC強調了Equifax的案例,該公司曾在2017年因沒有修補一個已知的Apache Struts缺陷導致1.47億消費者的敏感信息被洩露。該信用報告機構隨後同意支付7億美元以此跟該機構和個別州達成和解。
“FTC打算利用其充分的法律權力追究那些未能採取合理措施保護消費者數據的公司,從而使其免受Log4j或未來類似的已知漏洞的影響,”FTC說道。另外它還計劃在未來類似的已知漏洞的情況下運用其法律權力來保護消費者。
對於渴望躲避潛在的數百萬美元罰款的組織,FTC鼓勵他們遵循美國網絡安全和基礎設施安全局(CISA)發布的指南。這敦促企業將Log4j軟件包更新到最新版本、採取措施緩解漏洞並向可能受到影響的第三方和消費者發布有關該漏洞的信息。
在FTC發出警告信號之前,微軟本週曾發出警告–Log4Shell漏洞對公司來說仍是一個複雜和高風險的情況,另外還補充稱–“在12月的最後幾週,利用漏洞的嘗試和測試仍然很多”,低技能的攻擊者和民族國家行為者都在利用這個漏洞。
此外,它還補充稱:“在這個時刻,客戶應該認為廣泛提供的利用代碼和掃描能力對他們的環境是一個真實的和現實的危險。由於許多軟件和服務受到影響並考慮到更新的速度,預計這將會有一個很長的補救尾巴並需要持續不斷的警惕。”