美联邦贸易委员会(FTC)警告称,如果美国企业未能保护客户数据免受Log4Shell(广泛使用的Log4j Java日志库中的一个零日漏洞)的影响,那么可能要面临法律后果。
在本周的一份警报中,改消费者保护机构警告称,12月首次发现的这个“严重”漏洞正在被越来越多的攻击者利用,另外还对数百万消费者产品构成“严重风险”。这封公开信敦促各组织缓解该漏洞以减少对消费者造成伤害的可能性并避免潜在的法律行动。
该机构说道:“当漏洞被发现和利用时,它有可能造成个人信息的丢失或泄露、财务损失和其他不可逆转的伤害。采取合理措施减轻已知软件漏洞的责任牵涉到法律,包括《联邦贸易委员会法》和《格雷姆-里奇-比利雷法案》。 至关重要的是,依赖Log4j的公司及其供应商现在就要采取行动以减少对消费者造成伤害的可能性并避免来自FTC的法律行动。”
FTC强调了Equifax的案例,该公司曾在2017年因没有修补一个已知的Apache Struts缺陷导致1.47亿消费者的敏感信息被泄露。该信用报告机构随后同意支付7亿美元以此跟该机构和个别州达成和解。
“FTC打算利用其充分的法律权力追究那些未能采取合理措施保护消费者数据的公司,从而使其免受Log4j或未来类似的已知漏洞的影响,”FTC说道。另外它还计划在未来类似的已知漏洞的情况下运用其法律权力来保护消费者。
对于渴望躲避潜在的数百万美元罚款的组织,FTC鼓励他们遵循美国网络安全和基础设施安全局(CISA)发布的指南。这敦促企业将Log4j软件包更新到最新版本、采取措施缓解漏洞并向可能受到影响的第三方和消费者发布有关该漏洞的信息。
在FTC发出警告信号之前,微软本周曾发出警告--Log4Shell漏洞对公司来说仍是一个复杂和高风险的情况,另外还补充称--“在12月的最后几周,利用漏洞的尝试和测试仍然很多”,低技能的攻击者和民族国家行为者都在利用这个漏洞。
此外,它还补充称:“在这个时刻,客户应该认为广泛提供的利用代码和扫描能力对他们的环境是一个真实的和现实的危险。由于许多软件和服务受到影响并考虑到更新的速度,预计这将会有一个很长的补救尾巴并需要持续不断的警惕。”