De Tovenaar van Oz had gelijk: “Let niet op de man achter het gordijn.” Dit komt omdat volgens an FTC-verordeninghet computerbedrijf Lenovo had aandacht moeten besteden aan de “man in het midden”. In dit geval was de ‘man in the middle’ vooraf geladen software die advertenties introduceerde die de persoonlijke gegevens van consumenten in gevaar brachten door kwaadaardige man-in-the-middle-aanvallen.
Toen mensen voor het eerst met hun nieuwe Lenovo-computers op een winkelsite surften, ontvingen ze een pop-upwaarschuwing met de tekst: “Verken winkelen met VisualDiscovery: uw browser is voorzien van VisualDiscovery, zodat u tijdens het winkelen visueel vergelijkbare producten en de beste prijzen kunt ontdekken.” Wat was VisualDiscovery? Het was adware die was aangepast aan Lenovo-specificaties door Palo Alto-ontwikkelaar Superfish. En wat deed VisualDiscovery? Elke keer dat een consument op een winkelsite over een productafbeelding zweefde, vertoonde VisualDiscovery pop-upadvertenties voor gelijksoortige producten die werden verkocht door de retailpartners van Superfish. Maar dat is niet alles.
Op aanwijzing van Lenovo heeft Superfish VisualDiscovery aangepast zodat het in alle browsers werkt, inclusief browsers die na aankoop door consumenten zijn geïnstalleerd. Om dit te doen, heeft de software een tool ingebouwd die de veiligheidsmaatregelen van sites met gecodeerde verbindingen in gevaar brengt. (Consumenten herkennen een gecodeerde verbinding aan de “s” in http-formaatS:// URL.) Lees de klacht voor meer informatie, maar hier is de korte versie van waarom het een noodlottige beslissing bleek te zijn.
HTTPS://-websites gebruiken digitale certificaten als een vorm van elektronische inloggegevens die aan consumentenbrowsers worden gepresenteerd om te verifiëren dat de site authentiek is en geen bedrieger. VisualDiscovery heeft echter digitale certificaten voor https://-websites vervangen door eigen certificaten. De certificaten van de software lieten zowel de site als de browser geloven dat er een directe, gecodeerde verbinding was, terwijl de software zichzelf in werkelijkheid als een man in het midden configureerde. Hierdoor kreeg de software toegang tot alle gevoelige informatie die door een consument via internet werd verzonden, zelfs op gecodeerde sites. Bovendien stuurde de software Superfish-URL’s van sites die door consumenten werden bezocht, IP-adressen en een unieke identificatie die aan elke laptop werd toegewezen. En dit alles gebeurde zonder medeweten of toestemming van de consument.
DE klacht beweert dat de “man-in-the-middle”-status van de software twee ernstige beveiligingsproblemen heeft veroorzaakt. Ten eerste moet een consument een waarschuwing ontvangen wanneer hij een site bezoekt met een niet-vertrouwde verbinding, zoals een site waar hackers gevoelige gegevens kunnen onderscheppen. Maar al deze pogingen met certificaten zorgden ervoor dat consumenten niet de gebruikelijke waarschuwing kregen, waardoor hun gegevens in gevaar kwamen en een fundamentele vorm van bescherming van browsers onbruikbaar werd.
De software creëerde een extra risico waardoor de persoonlijke gegevens van consumenten in gevaar kwamen. Om de gewenste functionaliteit te faciliteren heeft Superfish een licentie voor een tool van derden aangeschaft. In plaats van voor elke laptop een uniek wachtwoord te gebruiken, gebruikte de tool dezelfde persoonlijke coderingssleutel met hetzelfde gemakkelijk te raden wachtwoord op elke laptop waarop VisualDiscovery was geïnstalleerd. Zodra het wachtwoord was gekraakt, konden aanvallers alle Lenovo-bezitters met VisualDiscovery op hun laptops aanvallen met man-in-the-middle-aanvallen om zeer gevoelige informatie te onderscheppen, zoals burgerservice- en rekeningnummers, medische gegevens, inloggegevens en e-mails. De kwetsbaarheid maakte het voor aanvallers ook gemakkelijker om consumenten te misleiden om malware te downloaden op elke getroffen Lenovo-laptop. Hoe gemakkelijk was het om het wachtwoord te kraken? Het was de naam van het bedrijf dat de tool verkocht, een keuze die zo voor de hand liggend was dat beveiligingsonderzoekers er binnen een uur achter kwamen.
Tel er één van klacht beweert dat Lenovo op bedrieglijke wijze heeft nagelaten te onthullen dat VisualDiscovery zou optreden als tussenpersoon tussen consumenten en de sites waarmee zij communiceerden, inclusief gevoelige communicatie via gecodeerde https://-sites. Deze telling beweert ook dat het misleidend zou zijn geweest om niet bekend te maken dat de software de browsegegevens van consumenten naar Superfish zou sturen. De tweede beklaagde beschuldigt Lenovo ervan man-in-the-middle-software vooraf te installeren zonder de consumenten hiervan tijdig op de hoogte te stellen en hun geïnformeerde toestemming te verkrijgen. In de derde aanklacht wordt beweerd dat het onvermogen van Lenovo om redelijke stappen te ondernemen om de veiligheidsrisico’s veroorzaakt door vooraf geïnstalleerde software te beoordelen en aan te pakken eveneens een oneerlijke praktijk was.
DE voorgestelde volgorde Verbiedt Lenovo misleidende uitspraken te doen over een verscheidenheid aan functies van bepaalde vooraf geïnstalleerde software, inclusief de vraag of er advertenties, inclusief pop-upadvertenties, worden weergegeven of persoonlijke gegevens van consumenten worden verzonden. Het bevel verhindert ook dat Lenovo bepaalde soorten software vooraf installeert zonder eerst de uitdrukkelijke en bevestigende toestemming van de consument te verkrijgen. Bovendien zal Lenovo over een uitgebreid softwarebeveiligingsprogramma moeten beschikken. U kunt een openbare reactie plaatsen op de voorgestelde oplossing uiterlijk op 5 oktober 2017.
Wat kunnen andere bedrijven leren van de Lenovo-rechtszaak?
Als het gaat om de privacy van de persoonlijke informatie van consumenten, is transparantie het beste beleid. Volgens de klacht kwam Lenovo in de problemen omdat het de consumenten niet vertelde – en ook geen toestemming kreeg – dat VisualDiscovery al hun internetcommunicatie zou onderscheppen, inclusief gevoelige websites, en bepaalde browse-informatie aan Superfish zou doorgeven. Sommigen vragen zich misschien af waarom consumenten VisualDiscovery niet eenvoudigweg hebben uitgeschakeld. Het probleem was dat Lenovo consumenten nooit duidelijk uitlegde wat er achter de schermen – en achter de schermen – gebeurde. Het voorgestelde besluit vereist onder meer dat Lenovo over een mechanisme beschikt waarmee consumenten hun uitdrukkelijke toestemming kunnen intrekken door zich af te melden of de gedekte software uit te schakelen. De bepalingen van het bevel zijn uiteraard alleen van toepassing op dat bedrijf, maar voor elk bedrijf bevordert het duidelijk vooraf uitleggen van zaken en het aanbieden van gemakkelijk uit te oefenen opties de loyaliteit van de consument.
Houd rekening met de risico’s van het wijzigen van bestaande beveiligingsfuncties. ALS Begin met veiligheid maakt duidelijk dat beveiligingsprotocollen niet voor niets bestaan en dat het manipuleren ervan riskant kan zijn. Zorg ervoor dat de software van derden die in uw product is opgenomen, de persoonlijke gegevens van consumenten niet in gevaar brengt.
Houd toezicht op uw softwareleveranciers. Zelfs als u externe leveranciers inhuurt, is de veiligheid van uw producten uiteindelijk uw verantwoordelijkheid. In de klacht wordt beweerd dat het onvermogen van Lenovo om redelijke stappen te ondernemen om de beveiligingsrisico’s die voortvloeien uit de installatie van software van derden te evalueren en aan te pakken, een oneerlijke praktijk was. Welk advies moet u volgen voor uw bedrijf? Doe uw due diligence. Voordat u leveranciers inhuurt, moet u ervoor zorgen dat ze een redelijke beveiliging kunnen handhaven. Neem bepalingen op in uw contract die betrekking hebben op de veiligheid. En voer uw eigen tests uit of sta erop dat uw leveranciers u solide documentatie verstrekken waarin wordt bevestigd dat zij de juiste tests hebben uitgevoerd.
