Toen consumenten Java SE, dat op meer dan 850 miljoen computers is geïnstalleerd, updaten, beloofde Oracle Corporation “veilige toegang tot een wereld vol geweldige Java-inhoud” en verklaarde dat de updates “de nieuwste … beveiligingsverbeteringen” hadden. Maar volgens een schikking die zojuist door de FTC is aangekondigdals het om deze beveiligingsupdates ging, goot Java SE cafeïnevrij.
Consumenten gebruiken Java voor allerlei doeleinden, van het spelen van online games tot het bekijken van 3D-beelden. Maar een van de uitdagingen voor Java SE-gebruikers was dat aanvallers de periodieke beveiligingsupdates van Oracle nauwlettend in de gaten hielden om de zwakke punten in eerdere versies te vinden. De slechteriken zouden vervolgens malware – exploitkits – ontwerpen die zich richten op zwakke plekken in eerdere Java SE-iteraties. De gevolgen kunnen desastreus zijn voor de consument. Het was bekend dat aanvallers keystroke loggers installeerden om gebruikersnamen en wachtwoorden vast te leggen. Volgende stop: een plundering van de creditcard-, bank- en PayPal-rekeningen van mensen.
Maar zouden deze Java SE-beveiligingsupdates het probleem niet oplossen? Dat zou je graag denken, maar voor sommige consumenten is dat niet wat er is gebeurd. Mensen werd niet verteld dat Java SE-updates automatisch alleen de nieuwste versie verwijderden die op de computer was geïnstalleerd. Ze wisten ook niet dat updates geen versies zouden verwijderen die vóór een bepaalde datum waren uitgebracht. Maar wie wist het probleem volgens de FTC wel, maar legde het niet duidelijk uit? Orakel, dat is wie.
Op een pagina met veelgestelde vragen onthulde Oracle dat “oude en niet-ondersteunde versies van Java op uw systeem een ernstig veiligheidsrisico vormen” en dat “het (de)installeren van oudere versies van Java van uw systeem ervoor zorgt dat Java-applicaties met de meest up-to-date beveiliging werken.” Maar er waren twee problemen mee. Ten eerste kan ‘Veelgestelde vragen’ in deze context een onnauwkeurige omschrijving zijn geweest, want hoe vaak overweldigen gewone consumenten dergelijke sites? Ten tweede: zelfs als consumenten die pagina zouden vinden (een onzekere vraag of dit het geval is), verklaart dit nog steeds niet dat het Java SE-updateproces niet alle oudere, onveilige versies van de software heeft verwijderd.
Wat meer is, volgens de klacht van de FTCin 2011 wist Oracle dat het updateproces niet voldoende was om ervoor te zorgen dat consumenten altijd alle oudere, onveilige versies konden verwijderen. Zoals een insider van Oracle botweg opmerkte: “Het Java-updatemechanisme is niet agressief genoeg of werkt simpelweg niet.” Toch bleef Oracle, zoals de FTC beweert, beveiligingsupdates uitbrengen tot augustus 2014, zonder te onthullen dat de updates kwetsbare Java SE-versies mogelijk onaangeroerd hebben gelaten – en daarom openstaan voor aanvallen. In het licht van de verklaringen van Oracle zegt de FTC dat het verzuim van het bedrijf om informatie openbaar te maken misleidend was.
De voorgestelde volgorde verbiedt verkeerde voorstellingen over de privacy of veiligheid van bepaalde Oracle-software. Het vereist ook dat Oracle ervoor zorgt dat de update- en installatieschermen van Java SE consumenten laten weten of bepaalde oudere versies op hun computers staan, en dat ze deze kunnen verwijderen. Oracle zal de getroffen consumenten ook op de hoogte moeten stellen en hen moeten begeleiden bij het oplossen van het probleem.
Wat moet uw bedrijf uit de casus meenemen?
Eerste dingen eerst. Zorg ervoor dat u het probleem op uw eigen computers hebt opgelost. De schikking vereist dat Oracle Java-gebruikers op de hoogte stelt van het beveiligingslek en tools levert om het probleem te verhelpen. In de tussentijd heeft u verschillende mogelijkheden om oude versies van Java SE te verwijderen. Volg de instructies op die van Oracle java.com/uninstall pagina of voer een van deze stappen uit:
Er is nog een les voor bedrijven. Al meer dan tien jaar adviseert de FTC bedrijven om hun producten en diensten te testen op ernstige, bekende en redelijkerwijs voorzienbare risico’s. Het is zo’n belangrijk punt dat het wordt herhaald in de zakenbrochure van de FTC: Begin met beveiliging. Maar het voor de hand liggende gevolg van dit advies is dat wanneer testen problemen aan het licht brengen, er snel actie moet worden ondernomen om het probleem op te lossen en de getroffen consumenten duidelijk moet worden gewaarschuwd.
Dien vóór 20 januari 2016 commentaar op de voorgestelde schikking in. En maak een bladwijzer Pagina voor gegevensbeveiliging van Business Center voor praktische begeleiding, video’s, cases en andere gratis bronnen om u te helpen aan de slag te gaan met beveiliging en deze te onderhouden.
