美联邦贸易委员会(FTC)警告称,假如美国企业无法保护客户资料免受Log4Shell(普遍采用的Log4j Java日志库中的一个零日漏洞)的危害,那麼很有可能要遭遇法律法规不良影响。
在近期的一份报警中,改顾客保护组织警告称,12月初次发觉的这一“比较严重”系统漏洞已经被很多的网络攻击运用,此外还对上百万顾客商品组成“比较严重风险性”。这封联名信督促各机构减轻该系统漏洞以减小对顾客导致损害的几率并防止不确定性的法律法规行为。
该组织讲到:“当系统漏洞被看到和运用时,它有可能导致私人信息的损失或泄漏、会计损害和别的不可避免的损害。采用有效对策缓解已经知道手机软件系统漏洞的义务涉及到法律法规,包含《联邦贸易委员会法》和《格雷姆-里奇-比利雷法案》。 尤为重要的是,依靠Log4j的企业以及经销商如今就需要付诸行动以减小对顾客导致损害的几率并防止来源于FTC的法律法规行为。”
FTC注重了Equifax的实例,该企业曾在2017年因沒有修复一个已经知道的Apache Struts缺点造成1.47亿顾客的敏感性信息内容被泄漏。该个人信用报告组织接着允许付款7亿美金为此跟该组织和某些州达到调解。
“FTC准备运用其全面的法律法规权利追责这些无法采用有效对策保护顾客数据信息的企业,进而使其免受Log4j或将来相近的己知系统漏洞的危害,”FTC讲到。此外它还方案在未来相近的己知系统漏洞的情形下应用其法律法规权利来保护顾客。
针对期盼躲避潜在性的数百万美元处罚的机构,FTC激励她们遵循英国网络信息安全和基础设施建设安全局(CISA)公布的手册。这督促公司将Log4j程序包升级到最新版、采取一定的有效措施减轻系统漏洞并向很有可能遭受危害的第三方和顾客公布相关该系统漏洞的信息内容。
在FTC传出警告数据信号以前,微软公司这周曾传出警告--Log4Shell系统漏洞对企业而言仍是一个繁杂和高危的状况,此外还填补称--“在12月的最终几个星期,运用系统漏洞的试着和检测依然许多”,低专业技能的网络攻击和专制制度个人行为者都是在运用这一系统漏洞。
除此之外,它还填补称:“在这个时刻,顾客应当觉得普遍给予的运用编码和扫描仪工作能力对她们的自然环境是一个真正的和实际的风险。因为很多手机软件和服务项目遭受危害并充分考虑升级的速率,预估这可能有一个较长的弥补小尾巴并必须连续不停的当心。”