美國FTC今天在一篇關於嚴重安全漏洞Log4Shell的blog文章中警告說,未能保護消費者數據免受 Apache Log4j漏洞攻擊的公司有面臨法律訴訟和罰款的風險,FTC同時提到 2017 年 Equifax 因未修補漏洞以及其隨之而來的法律後果。
美國聯邦貿易委員會 (Federal Trade Commission -FTC)週二警告美國公司,如果他們的客戶受到涉及Log4j漏洞利用的攻擊的影響,他們可能會面臨法律訴訟。FTC 以 Equifax 為例,強調Equifax是三大信用報告機構之一,該公司未能在 2017 年修補已知的 Apache Struts漏洞後,導致 1.47 億消費者的敏感資訊洩露,當時美國聯邦貿易委員會和其他政府機構提出控告,該公司隨後同意支付 7 億美元達成和解。
FTC 表示,採取合理措施緩解已知軟體漏洞的責任涉及法律,其中包括《聯邦貿易委員會法》和《Gramm Leach Bliley法》,至關重要的是,使用日誌框架Log4j的公司及其供應商立即採取行動,以減少對消費者造成傷害的可能性,並避免 FTC 採取法律行動。
FTC 建議企業遵循 CISA 關於緩解Log4j 漏洞的指導:
*將Log4j 軟體包更新至最新的版本:https ://logging.apache.org/log4j/2.x/security.html
*參閱 CISA 指南 以緩解此漏洞
*確保採取修補措施,以確保貴公司的做法不違反法律,未能識別和修補此軟體的實體可能違反 FTC 法案
*將有關漏洞的資訊分發給可能容易受到攻擊的第三方和消費者。
FTC 發出警告之前,微軟本週也警告稱,Log4Shell漏洞對企業來說仍然是一個複雜且高風險的情況,並補充說在2021年 12月的幾個星期間,嘗試利用漏洞和測試仍然很頻繁。由於許多受影響的軟體和服務,以及更新的速度緩慢,預計企業需要花很長時間才能補完漏洞,並需要持續保持警戒。