Seguridad en la nube, legislación y litigios, operaciones de seguridad Empresa de cámaras de seguridad basadas en la nube promete una mejor seguridad en el acuerdo de la FTC de EE. UU. Marianne Kolbasuk McGee (HealthInfoSec) • 30 de agosto de 2024 La Comisión Federal de Comercio de EE. UU. alega que las prácticas de seguridad laxas permitieron a los piratas informáticos acceder a secuencias de video confidenciales de las cámaras de seguridad habilitadas para IP de Verkada (Imagen: Verkada) Una empresa de cámaras de seguridad basadas en la nube de California acordó pagar una multa civil de $ 2,95 millones e implementar un programa de seguridad integral después de que los piratas informáticos en 2021 accedieran al video de 150.000 cámaras de seguridad conectadas a Internet, incluidos dispositivos ubicados dentro de hospitales psiquiátricos y clínicas de salud para mujeres. Ver también: Wipro y AWS se unen para abordar el cumplimiento en la era de la nube Una queja de la Comisión Federal de Comercio de EE. UU. contra Verkada, con sede en San Mateo, alega que la empresa no utilizó prácticas de seguridad de la información adecuadas para proteger la información personal de los clientes y consumidores recopilada a través de sus cámaras de seguridad. Además de la multa financiera multimillonaria, una orden de consentimiento acordada por la empresa la compromete a implementar un programa de seguridad integral y a presentar evaluaciones de riesgo anuales a la FTC durante las próximas dos décadas. La orden aún requiere la aprobación de un juez federal. La orden de consentimiento propuesta también resuelve las acusaciones de que Verkada violó las protecciones federales contra el correo electrónico no deseado al inundar a los clientes potenciales con un aluvión de correos electrónicos comerciales y no incluir la opción de cancelar la suscripción o darse de baja. La empresa tampoco cumplió con las solicitudes de cancelación de suscripción y no proporcionó una dirección postal física en los correos electrónicos, dijo la FTC. El producto principal de Verkada son cámaras de seguridad habilitadas para IP que almacenan datos de clientes y secuencias de video archivadas utilizando el almacenamiento basado en la nube de Amazon Web Services. Entre 2019 y 2021, el acusado vendió más de 240.000 cámaras de seguridad, dijo la agencia. La seguridad supuestamente laxa de Verkada incluía el hecho de no requerir contraseñas únicas y complejas, cifrar adecuadamente los datos de los clientes e implementar controles de red seguros. Como resultado de estos fallos de seguridad, Verkada sufrió al menos dos brechas de seguridad entre diciembre de 2020 y marzo de 2021. En la brecha de marzo de 2021, un pirata informático accedió a secuencias de vídeo de más de 150.000 cámaras de Verkada conectadas a Internet, así como a otra información de los clientes, como direcciones físicas, grabaciones de audio y credenciales de WiFi de los clientes (véase: Startup investiga el hackeo de cámaras de seguridad conectadas a Internet). “El intruso tuvo acceso a más de 150.000 cámaras de clientes en directo y vio a pacientes en hospitales psiquiátricos (incluidos pacientes que descansaban en camas de hospital) y clínicas de salud para mujeres, niños pequeños jugando dentro de una habitación y personas encarceladas dentro de sus celdas”, dijo la FTC. En la brecha de diciembre de 2020, un pirata informático aprovechó una falla de seguridad en un servidor de compilación de firmware heredado después de que un empleado no pudiera restaurar la configuración de seguridad original del servidor, dijo la FTC. Los piratas informáticos instalaron el software de botnet Mirari “en el servidor y realizaron actividades maliciosas, incluido el uso del servidor como arma para lanzar ataques de denegación de servicio contra otras direcciones de Internet de terceros. El acusado no sabía que el servidor estaba comprometido hasta que la seguridad de AWS marcó la actividad más de dos semanas después”. Verkada en una declaración del viernes dijo que no está de acuerdo con las acusaciones de la FTC, pero que ha aceptado los términos del acuerdo “para que podamos seguir adelante con nuestra misión y centrarnos en proteger a las personas y los lugares de una manera sensible a la privacidad”. “Seguimos priorizando el fortalecimiento de la postura de seguridad de datos de Verkada”, decía la declaración. Verkada recopila y mantiene una variedad de información de los clientes, incluidos nombres, direcciones físicas, nombres de usuario y hashes de contraseñas de los clientes, planos de planta del sitio del cliente y credenciales de Wi-Fi del cliente, dijo la agencia en su denuncia. Sus cámaras de seguridad recopilan secuencias de video “pueden incluir capturas de consumidores y de otra información personal potencialmente sensible sobre los consumidores, como registros médicos visibles”, dijo la FTC. “Muchas de estas capturas de consumidores son inherentemente sensibles, ya que la presencia de una persona en un lugar determinado necesariamente revela información personal; por ejemplo, un consumidor capturado en un hospital psiquiátrico sugiere firmemente que dicho consumidor está buscando servicios de salud mental”, dijo la FTC. Además de las capacidades de vigilancia en vivo, las cámaras de seguridad de Verkada incluyen funciones de “People Analytics” que permiten a los clientes ver imágenes de alta resolución de todos los consumidores cuyas imágenes han sido grabadas por sus cámaras de seguridad o cargadas en la plataforma Command de la empresa. Eso permite a los usuarios filtrar las imágenes recopiladas por género o color de ropa, y buscar imágenes a través de tecnología de reconocimiento facial o de comparación de rostros. La Comisión votó 5-0 a favor de la orden de consentimiento propuesta. URL de la publicación original: https://www.databreachtoday.com/verkada-agrees-to-295m-civil-penalty-after-hacks-a-26179
Deja una respuesta