De Tovenaar van Oz had gelijk: “Let niet op de man achter het gordijn.” Dit komt omdat volgens a FTC-schikkingmocht het computerbedrijf Lenovo op de hoogte zijn geweest van de “man in the middle”. In dit geval was de “man in the middle” vooraf geladen software die de persoonlijke informatie van consumenten in gevaar bracht door kwaadaardige man-in-the-middle-aanvallen.
Toen mensen voor het eerst een winkelsite bezochten met hun nieuwe Lenovo-computers, kregen ze een eenmalig pop-upbericht met de tekst: “Ontdek winkelen met VisualDiscovery: uw browser is uitgerust met VisualDiscovery, waarmee u visueel vergelijkbare producten en de beste prijzen kunt ontdekken terwijl u winkelt.” Wat was VisualDiscovery? Het was adware die was aangepast aan de specificaties van Lenovo door Palo Alto-ontwikkelaar Superfish. En wat deed VisualDiscovery? Telkens wanneer een consument op een winkelsite over een productafbeelding zweefde, liet VisualDiscovery pop-upadvertenties zien van gelijksoortige producten die werden verkocht door de retailpartners van Superfish. Maar dat is niet alles.
Op aanwijzing van Lenovo heeft Superfish VisualDiscovery aangepast zodat het in alle browsers zou werken, inclusief browsers die consumenten na aankoop hebben geïnstalleerd. Om dit te doen, heeft de software een tool ingebouwd die de beveiligingsmaatregelen van websites met gecodeerde verbindingen in gevaar brengt. (Consumenten herkennen een gecodeerde verbinding met de “s” in httpP:// URL.) Lees de klacht voor meer informatie, maar hier is de korte versie van waarom het een noodlottige beslissing bleek te zijn.
Https://-sites gebruiken digitale certificaten als een vorm van elektronische inloggegevens die aan de browsers van consumenten worden gepresenteerd om te helpen verifiëren dat de site authentiek is en geen bedrieger is. VisualDiscovery heeft de digitale certificaten voor https://-sites echter vervangen door eigen certificaten. De certificaten van de software lieten zowel de website als de browser denken dat er een directe, gecodeerde verbinding was, terwijl de software zichzelf feitelijk opstelde als een man-in-the-middle. Het gaf de software toegang tot alle gevoelige informatie die een consument via internet stuurde, ook op gecodeerde websites. Bovendien stuurde de software de URL’s van websites die consumenten bezochten, IP-adressen en een unieke identificatiecode die aan elke laptop was toegewezen naar Superfish. En dat alles gebeurde zonder medeweten of toestemming van de consument.
De klacht beweert dat de man-in-the-middle-status van de software twee ernstige beveiligingsproblemen veroorzaakte. Ten eerste zou de consument een waarschuwing moeten krijgen wanneer een consument een website bezoekt met een niet-vertrouwde verbinding (bijvoorbeeld een website waar hackers gevoelige gegevens kunnen onderscheppen). Maar al dat gedoe met de certificaten zorgde ervoor dat consumenten niet de gebruikelijke waarschuwing kregen, waardoor hun gegevens in gevaar kwamen en een basisvorm van bescherming die browsers bieden nutteloos werd.
De software creëerde een extra risico waardoor de persoonlijke gegevens van consumenten in gevaar kwamen. Om de gewenste functionaliteit te faciliteren heeft Superfish een licentie van een derde partij aangeschaft. In plaats van voor elke laptop een uniek wachtwoord te gebruiken, gebruikte de tool dezelfde privé-coderingssleutel met hetzelfde gemakkelijk te raden wachtwoord op elke laptop waarop VisualDiscovery was geïnstalleerd. Zodra de slechteriken het wachtwoord hadden gekraakt, konden ze alle Lenovo-bezitters met VisualDiscovery op hun laptops aanvallen met man-in-the-middle-aanvallen om zeer gevoelige informatie te onderscheppen, zoals burgerservice- en rekeningnummers, medische gegevens, inloggegevens en e-mail. De kwetsbaarheid maakte het voor aanvallers ook gemakkelijker om consumenten te misleiden om malware te downloaden naar elke getroffen Lenovo-laptop. Hoe gemakkelijk was het wachtwoord te kraken? Het was de naam van het bedrijf dat de tool verkocht, een keuze die zo voor de hand liggend was dat beveiligingsonderzoekers er binnen een uur achter konden komen.
Tel er één van klacht beweert dat Lenovo op frauduleuze wijze heeft nagelaten te onthullen dat VisualDiscovery zou optreden als een man in het midden tussen consumenten en websites waarmee zij communiceerden, inclusief gevoelige communicatie op gecodeerde https://-sites. Deze telling beweert ook dat het misleidend was om niet bekend te maken dat software de browsegegevens van consumenten naar Superfish zou sturen. In punt twee wordt aangevoerd dat het een oneerlijke praktijk van Lenovo was om man-in-the-middle-software vooraf te installeren zonder de consumenten hiervan tijdig op de hoogte te stellen en hun geïnformeerde toestemming te verkrijgen. In punt drie wordt aangevoerd dat het onvermogen van Lenovo om redelijke stappen te ondernemen om de veiligheidsrisico’s die door de vooraf geïnstalleerde software worden veroorzaakt, te beoordelen en aan te pakken eveneens een oneerlijke praktijk was.
De voorgestelde volgorde verbiedt Lenovo een verkeerde voorstelling van zaken te geven over een aantal functies van bepaalde vooraf geïnstalleerde software, inclusief de vraag of er advertenties, inclusief pop-upadvertenties, worden weergegeven of persoonlijke gegevens van consumenten worden verzonden. Het bevel verbiedt Lenovo ook om bepaalde soorten software vooraf te installeren zonder eerst de uitdrukkelijke toestemming van de consument te verkrijgen. Bovendien moet Lenovo een uitgebreid softwarebeveiligingsprogramma opzetten. U kunt een openbare reactie indienen voorgestelde schikking uiterlijk 5 oktober 2017.
Wat kunnen andere bedrijven leren van de Lenovo-zaak?
Als het gaat om de privacy van de persoonlijke informatie van consumenten, is transparantie het beste beleid. Volgens de klacht kwam Lenovo in de problemen omdat het de consumenten niet had verteld – en ook geen toestemming had gekregen – dat VisualDiscovery al hun internetcommunicatie zou onderscheppen, ook op gevoelige websites, en bepaalde browserinformatie naar Superfish zou doorgeven. Sommigen vragen zich misschien af waarom consumenten VisualDiscovery niet gewoon hebben uitgeschakeld. Het probleem was dat Lenovo consumenten nooit duidelijk uitlegde wat er achter de schermen – en achter de schermen – gebeurde. Het voorgestelde besluit vereist onder meer dat Lenovo over een mechanisme beschikt waarmee consumenten hun uitdrukkelijke toestemming kunnen intrekken door zich af te melden of de gedekte software uit te schakelen. Bestelregels zijn uiteraard alleen van toepassing op dat bedrijf, maar voor elk bedrijf stimuleert het duidelijk vooraf uitleggen van zaken en het aanbieden van opties die gemakkelijk te trainen zijn de loyaliteit van de consument.
Houd rekening met de risico’s van het wijzigen van bestaande beveiligingsfuncties. Naad Begin met veiligheid Maak duidelijk dat beveiligingsprotocollen niet voor niets bestaan en dat het navolgen ervan riskant kan zijn. Zorg ervoor dat de software van derden die u bij uw product levert, de persoonlijke gegevens van consumenten niet in gevaar brengt.
Houd toezicht op uw softwareleveranciers. Zelfs als u externe leveranciers inhuurt, is de veiligheid van uw producten uiteindelijk uw verantwoordelijkheid. In de klacht wordt aangevoerd dat Lenovo’s verzuim om redelijke stappen te ondernemen om de veiligheidsrisico’s die voortvloeien uit de installatie van software van derden te beoordelen en aan te pakken, een onredelijke praktijk was. Wat zijn de takeaway-tips voor uw bedrijf? Doe uw due diligence. Voordat u leveranciers inhuurt, moet u ervoor zorgen dat zij een redelijke beveiliging kunnen handhaven. Neem bepalingen op in uw contract die betrekking hebben op de beveiliging. En voer uw eigen tests uit of sta erop dat uw leveranciers u solide documentatie verstrekken waarin wordt bevestigd dat zij hun eigen passende tests hebben uitgevoerd.
