美聯(lián)邦貿(mào)易委員會(huì)(FTC)警告稱(chēng)，如果美國(guó)企業(yè)未能保護(hù)客戶(hù)數(shù)據(jù)免受Log4Shell（廣泛使用的Log4j Java日志庫(kù)中的一個(gè)零日漏洞）的影響，那么可能要面臨法律后果。

在本周的一份警報(bào)中，改消費(fèi)者保護(hù)機(jī)構(gòu)警告稱(chēng)，12月首次發(fā)現(xiàn)的這個(gè)“嚴(yán)重”漏洞正在被越來(lái)越多的攻擊者利用，另外還對(duì)數(shù)百萬(wàn)消費(fèi)者產(chǎn)品構(gòu)成“嚴(yán)重風(fēng)險(xiǎn)”。這封公開(kāi)信敦促各組織緩解該漏洞以減少對(duì)消費(fèi)者造成傷害的可能性并避免潛在的法律行動(dòng)。

該機(jī)構(gòu)說(shuō)道：“當(dāng)漏洞被發(fā)現(xiàn)和利用時(shí)，它有可能造成個(gè)人信息的丟失或泄露、財(cái)務(wù)損失和其他不可逆轉(zhuǎn)的傷害。采取合理措施減輕已知軟件漏洞的責(zé)任牽涉到法律，包括《聯(lián)邦貿(mào)易委員會(huì)法》和《格雷姆-里奇-比利雷法案》。?至關(guān)重要的是，依賴(lài)Log4j的公司及其供應(yīng)商現(xiàn)在就要采取行動(dòng)以減少對(duì)消費(fèi)者造成傷害的可能性并避免來(lái)自FTC的法律行動(dòng)。”

FTC強(qiáng)調(diào)了Equifax的案例，該公司曾在2017年因沒(méi)有修補(bǔ)一個(gè)已知的Apache Struts缺陷導(dǎo)致1.47億消費(fèi)者的敏感信息被泄露。該信用報(bào)告機(jī)構(gòu)隨后同意支付7億美元以此跟該機(jī)構(gòu)和個(gè)別州達(dá)成和解。

“FTC打算利用其充分的法律權(quán)力追究那些未能采取合理措施保護(hù)消費(fèi)者數(shù)據(jù)的公司，從而使其免受Log4j或未來(lái)類(lèi)似的已知漏洞的影響，”FTC說(shuō)道。另外它還計(jì)劃在未來(lái)類(lèi)似的已知漏洞的情況下運(yùn)用其法律權(quán)力來(lái)保護(hù)消費(fèi)者。

對(duì)于渴望躲避潛在的數(shù)百萬(wàn)美元罰款的組織，F(xiàn)TC鼓勵(lì)他們遵循美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)發(fā)布的指南。這敦促企業(yè)將Log4j軟件包更新到最新版本、采取措施緩解漏洞并向可能受到影響的第三方和消費(fèi)者發(fā)布有關(guān)該漏洞的信息。

在FTC發(fā)出警告信號(hào)之前，微軟本周曾發(fā)出警告--Log4Shell漏洞對(duì)公司來(lái)說(shuō)仍是一個(gè)復(fù)雜和高風(fēng)險(xiǎn)的情況，另外還補(bǔ)充稱(chēng)--“在12月的最后幾周，利用漏洞的嘗試和測(cè)試仍然很多”，低技能的攻擊者和民族國(guó)家行為者都在利用這個(gè)漏洞。

此外，它還補(bǔ)充稱(chēng)：“在這個(gè)時(shí)刻，客戶(hù)應(yīng)該認(rèn)為廣泛提供的利用代碼和掃描能力對(duì)他們的環(huán)境是一個(gè)真實(shí)的和現(xiàn)實(shí)的危險(xiǎn)。由于許多軟件和服務(wù)受到影響并考慮到更新的速度，預(yù)計(jì)這將會(huì)有一個(gè)很長(zhǎng)的補(bǔ)救尾巴并需要持續(xù)不斷的警惕?！?/p>

（舉報(bào)）