O Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) está pedindo aos fabricantes de dispositivos inteligentes que cumpram a nova legislação que os proíbe de usar senhas padrão, em vigor em 29 de abril de 2024.
“A lei, conhecida como Lei de Segurança de Produtos e Infraestrutura de Telecomunicações (ou Lei PSTI), ajudará os consumidores a escolher dispositivos inteligentes que foram projetados para fornecer proteção contínua contra ataques cibernéticos”, disse o NCSC.
Para esse efeito, os fabricantes são obrigados a não fornecer dispositivos que utilizem palavras-passe predefinidas que possam ser adivinhadas, a fornecer um ponto de contacto para comunicar problemas de segurança e a indicar o período durante o qual se espera que os seus dispositivos recebam atualizações de segurança importantes.
As senhas padrão não apenas podem ser facilmente encontradas on-line, mas também atuam como um vetor para que os agentes de ameaças façam login nos dispositivos para exploração subsequente. Dito isto, uma senha padrão exclusiva é permitida por lei.
A lei, que visa impor um conjunto de padrões mínimos de segurança em todos os níveis e evitar que dispositivos vulneráveis sejam encurralados em uma botnet DDoS como o Mirai, aplica-se aos seguintes produtos que podem ser conectados à Web:
- Alto-falantes inteligentes, TVs inteligentes e dispositivos de streaming
- Campainhas inteligentes, monitores para bebês e câmeras de segurança
- Tablets celulares, smartphones e consoles de jogos
- Rastreadores de health vestíveis (incluindo relógios inteligentes)
- Eletrodomésticos inteligentes (como lâmpadas, plugues, chaleiras, termostatos, fornos, geladeiras, produtos de limpeza e máquinas de lavar)
As empresas que não cumpram as disposições da lei PSTI estão sujeitas a enfrentar remembers e sanções monetárias, atraindo multas de até £ 10 milhões (US$ 12,5 milhões) ou 4% de suas receitas anuais globais, dependendo do que for maior.
O desenvolvimento torna o Reino Unido o primeiro país do mundo a proibir nomes de usuário e senhas padrão de dispositivos IoT. De acordo com o relatório de ameaças DDoS da Cloudflare para o primeiro trimestre de 2024, os ataques baseados em Mirai continuam a prevalecer, apesar da botnet unique ter sido derrubada em 2016.
“Quatro em cada 100 ataques DDoS HTTP e dois em cada 100 ataques DDoS L3/4 são lançados por uma botnet variante do Mirai”, disseram Omer Yoachimik e Jorge Pacheco. “O código-fonte do Mirai foi twister público e, ao longo dos anos, houve muitas permutações do unique.”
Também segue uma multa de US$ 196 milhões emitida pela Comissão Federal de Comunicações dos EUA (FCC) contra as operadoras de telecomunicações AT&T (US$ 57 milhões), Dash (US$ 12 milhões), T-Cellular (US$ 80 milhões) e Verizon (US$ 47 milhões) por compartilhar ilegalmente clientes 'dados de localização em tempo actual sem o seu consentimento para agregadores, que então venderam as informações a provedores de serviços terceirizados baseados em localização.
“Ninguém que assinou um plano de celular pensou que estava dando permissão para sua companhia telefônica vender um registro detalhado de seus movimentos a qualquer pessoa com cartão de crédito”, disse o senador dos EUA Ron Wyden, que revelou a prática em 2018, em um comunicado. declaração.
