美聯邦貿易委員會(FTC)警告稱,如果美國企業未能保護客戶資料免受Log4Shell(廣泛使用的Log4j Java日志庫中的一個零日漏洞)的影響,那麼可能要面臨法律後果。
在本周的一份警報中,改消費者保護機構警告稱,12月首次發現的這個“嚴重”漏洞正在被越來越多的攻擊者利用,另外還對數百萬消費者産品構成“嚴重風險”。這封公開信敦促各組織緩解該漏洞以減少對消費者造成傷害的可能性并避免潛在的法律行動。
該機構說道:“當漏洞被發現和利用時,它有可能造成個人資訊的丢失或洩露、财務損失和其他不可逆轉的傷害。采取合理措施減輕已知軟體漏洞的責任牽涉到法律,包括《聯邦貿易委員會法》和《格雷姆-裡奇-比利雷法案》。 至關重要的是,依賴Log4j的公司及其供應商現在就要采取行動以減少對消費者造成傷害的可能性并避免來自FTC的法律行動。”
FTC強調了Equifax的案例,該公司曾在2017年因沒有修補一個已知的Apache Struts缺陷導緻1.47億消費者的敏感資訊被洩露。該信用報告機構随後同意支付7億美元以此跟該機構和個别州達成和解。
“FTC打算利用其充分的法律權力追究那些未能采取合理措施保護消費者資料的公司,進而使其免受Log4j或未來類似的已知漏洞的影響,”FTC說道。另外它還計劃在未來類似的已知漏洞的情況下運用其法律權力來保護消費者。
對于渴望躲避潛在的數百萬美元罰款的組織,FTC鼓勵他們遵循美國網絡安全和基礎設施安全局(CISA)釋出的指南。這敦促企業将Log4j軟體包更新到最新版本、采取措施緩解漏洞并向可能受到影響的第三方和消費者釋出有關該漏洞的資訊。
在FTC發出警告信号之前,微軟本周曾發出警告--Log4Shell漏洞對公司來說仍是一個複雜和高風險的情況,另外還補充稱--“在12月的最後幾周,利用漏洞的嘗試和測試仍然很多”,低技能的攻擊者和民族國家行為者都在利用這個漏洞。
此外,它還補充稱:“在這個時刻,客戶應該認為廣泛提供的利用代碼和掃描能力對他們的環境是一個真實的和現實的危險。由于許多軟體和服務受到影響并考慮到更新的速度,預計這将會有一個很長的補救尾巴并需要持續不斷的警惕。”
![日本半導體産業伺機而動,能否追回“失去的30年”?[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)