Toen consumenten Java SE, dat op meer dan 850 miljoen computers is geïnstalleerd, updaten, beloofde Oracle Corporation “veilige, beveiligde toegang tot de wereld van verbazingwekkende Java-inhoud” en zei dat de updates “de nieuwste … beveiligingsverbeteringen” bevatten. Maar onder een schikking die zojuist door de FTC is aangekondigdals het om die beveiligingsupdates ging, was Java SE cafeïnevrij.
Consumenten gebruiken Java voor allerlei doeleinden, van het spelen van online games tot het bekijken van 3D-beelden. Maar een van de uitdagingen waarmee Java SE-gebruikers worden geconfronteerd, is dat aanvallers de periodieke beveiligingsupdates van Oracle nauwlettend in de gaten houden op zwakke punten in eerdere versies. Slechte actoren zouden vervolgens malware – exploitkits – ontwerpen die zich richten op zwakke punten in eerdere versies van Java SE. De gevolgen kunnen catastrofaal zijn voor de consument. Het is bekend dat aanvallers keystroke loggers installeren om gebruikersnamen en wachtwoorden vast te leggen. Volgende stop: diefstal van creditcards, bankrekeningen en PayPal van mensen.
Maar zouden Java SE-beveiligingsupdates het probleem niet oplossen? Dat zou je graag denken, maar voor sommige consumenten is dat niet wat er is gebeurd. Mensen werd niet verteld dat Java SE-updates automatisch alleen de meest recente versie verwijderden die op hun computer was geïnstalleerd. Ze wisten ook niet dat de updates geen versies zouden verwijderen die vóór een bepaalde datum waren uitgebracht. Maar wie wist het volgens de FTC wel, maar legde het probleem niet duidelijk uit? Orakel, dat is wie.
Op een pagina met veelgestelde vragen onthulde Oracle dat “oude, niet-ondersteunde versies van Java op uw systeem een ernstig veiligheidsrisico vormen” en dat “het (u)ninstalleren van oudere versies van Java vanaf uw systeem ervoor zorgt dat Java-applicaties met de meest up-to-date beveiliging zullen werken.” Maar hier waren twee problemen mee. Ten eerste kan ‘FAQ’ in deze context een onnauwkeurige omschrijving zijn geweest, want hoe vaak bezoeken gewone consumenten dit soort pagina’s? Ten tweede: zelfs als consumenten die pagina zouden vinden – een onzekere vraag of – zou dit nog steeds niet verklaren dat het Java SE-updateproces niet alle oudere, onveilige versies van de software had verwijderd.
Wat meer is, volgens de FTC-klachtin 2011 wist Oracle dat het updateproces niet voldoende was om ervoor te zorgen dat consumenten altijd alle oudere, onveilige versies konden verwijderen. Zoals een insider van Oracle eerlijk opmerkte: “Het Java-updatemechanisme is niet agressief genoeg of werkt simpelweg niet.” Echter, zoals de FTC beweert, bleef Oracle tot en met augustus 2014 beveiligingsupdates uitbrengen zonder te onthullen dat de updates kwetsbare versies van Java SE mogelijk onaangeroerd hebben gelaten en daardoor vatbaar zijn voor aanvallen. In het licht van de documenten van Oracle zegt de FTC dat het verzuim van het bedrijf om dit openbaar te maken bedrieglijk was.
De voorgestelde verordening verbiedt verkeerde voorstellingen over de privacy of veiligheid van bepaalde Oracle-software. Het vereist ook dat Oracle ervoor zorgt dat Java SE-upgrade- en installatieschermen consumenten vertellen of bepaalde oudere versies op hun computers aanwezig zijn en hen de mogelijkheid geven deze te verwijderen. Oracle zal de betrokken consumenten ook op de hoogte stellen en laten zien hoe ze het probleem kunnen oplossen.
Wat moet uw bedrijf uit deze zaak leren?
Eerste dingen eerst. Zorg ervoor dat u het probleem op uw computers hebt opgelost. De schikking vereist dat Oracle Java-gebruikers op de hoogte stelt van het beveiligingslek en tools levert om het probleem te verhelpen. In de tussentijd heeft u verschillende mogelijkheden om oude versies van Java SE te verwijderen. Volg de instructies op Oracle java.com/uninstall pagina of voer een van deze stappen uit:
Er is nog een les voor bedrijven. Al meer dan tien jaar adviseert de FTC bedrijven om hun producten en diensten te testen op ernstige, bekende en redelijkerwijs te voorziene risico’s. Het is zo’n belangrijk punt dat het wordt herhaald in de bedrijfsbrochure van de FTC: Begin met veiligheid. Maar het voor de hand liggende gevolg van dit advies is dat wanneer testen problemen aan het licht brengen, u snel moet handelen om het probleem op te lossen en de getroffen consumenten duidelijk moet waarschuwen.
Dien vóór 20 januari 2016 uw opmerkingen over de voorgestelde deal in. Maak er een bladwijzer van Pagina voor gegevensbeveiliging van Business Center voor handleidingen, video’s, cases en andere gratis bronnen om u op weg te helpen en de veiligheid te behouden.
