FTC警告对未能缓解Log4Shell的公司采取法律行动

FTC警告对未能缓解Log4Shell的公司采取法律行动

美国联邦贸易委员会周二表示，它打算启动法律行动，起诉那些因未修补易受Log4Shell漏洞影响的应用程序而泄露消费者数据的公司。

“FTC打算利用其全部法律权力追究那些未能采取合理措施保护消费者数据免遭Log4j或未来类似已知漏洞暴露的公司，”该机构在昨天的新闻稿中表示。

该机构表示，《联邦贸易委员会法》和《格拉姆·利奇·比利利法》等法律允许它对那些忽视对自己消费者的责任的公司采取行动。

这不是FTC第一次对未能修补安全漏洞的公司采取法律行动。这些案例中最著名的是FTC对Equifax的诉讼，Equifax是美国信用监测服务机构，在2017年未能修补Apache Struts服务器后泄露了超过1.47亿美国人的数据。

Equifax解决了联邦贸易委员会的诉讼，并同意向受影响的消费者支付7亿美元。

随着Log4j库在整个软件生态系统中广泛使用，FTC预计公司将采取懒散的方法来修补受Log4Shell漏洞影响的应用程序，并导致一波暴露美国消费者数据的安全漏洞，这是一个合理的假设制作。

微软：Log4Shell攻击居高不下

FTC警告可能采取法律行动的前一天，微软更新了一篇关于Log4Shell漏洞的博客文章，补充说在其披露近一个月后，利用此漏洞的攻击仍处于高水平。

“在12月的最后几周，开发尝试和测试仍然很高，”微软周一表示。

“我们观察到许多现有的攻击者在他们现有的恶意软件工具包和策略中添加了对这些漏洞的利用，从硬币矿工到手动键盘攻击。组织可能没有意识到他们的环境可能已经受到损害，”它补充道。

“在这个时刻，客户应该假设漏洞利用代码和扫描功能的广泛可用性对他们的环境构成真正的威胁。由于许多软件和服务受到影响并且考虑到更新的速度，预计这将有一个很长的补救措施，需要持续、可持续的警惕，”微软还表示。

这家操作系统制造商表示，它观察到Log4Shell攻击源自复杂对手的基础设施，如民族国家威胁组织和商品攻击者等。