在MOVEit诉讼之后,软件制造商可能面临更大的责任压力

那些在大规模供应链攻击中被利用的易受攻击应用的制造商需要加强软件安全措施,否则将面临高额罚款和和解费用。
暗网软件制造商

一位法律专家表示,在大规模MOVEit数据泄露事件之后,针对Progress Software提起的全国性集体诉讼可能预示着对那些易受攻击的应用程序进行利用的软件公司可能会面临额外诉讼。

Progress在该事件中面临着多项指控,包括疏忽和违反合同等,这些指控都来自于消费者权益法律事务所Hagens Berman提起的五起全国性集体诉讼。此前,Cl0p勒索软件团伙利用了其MOVEit托管文件传输应用程序中的关键零日漏洞。

这次攻击影响了跨国、备受瞩目的百万和十亿美元组织,其中包括壳牌石油和英国航空等,以及那些将MOVEit用于内外部敏感数据和大文件交换的公共和私营的中小组织。

安装了易受攻击版本软件的环境中,曝露了客户的敏感个人身份信息(PII),包括姓名、社会安全号码、出生日期、人口统计信息、保险政策号码等金融信息。

Hagens Berman声称,总体而言,Progress已经泄露了超过4000万人的敏感个人信息,并承诺随着更多受影响的600家组织站出来,将会有更多的集体诉讼出现。

根据案件的进展方式,如果软件提供商未能在攻击者利用漏洞并为客户造成数据、财务等损失之前修复其产品中的漏洞,那么这可能会为软件提供商的责任设定进一步的先例。

Hagens Berman案件的合作伙伴之一Sean Matt表示:“这些案件表明软件供应商在防范数据泄露方面需要更加谨慎。随着更多的数据泄露事件发生,相应的诉讼案件也在增加。”

百万美元和解的先例

事实上,有先例表明原告在易受攻击的软件遭受攻击并导致敏感数据泄露时赢得了数百万美元甚至数亿美元的和解金额,他说道。

安全公司Cyware的副总裁Willy Leichter承认:“大多数像这样的集体诉讼都会在庭外和解,因为聪明的供应商不想被拖入数月的调查和公开审判中。”

其中一个案例是Accellion数据泄露事件,该公司因一起零日漏洞利用导致数百万人受影响的数据泄露问题达成了810万美元的和解协议,据曾在俄克拉荷马州众议院任职的网络安全和数据隐私律师Collin Walke表示。

与其他和解案件以及MOVEit的诉讼一样,Accellion案件也基于疏忽、违反合同和侵犯隐私等多项指控。此外,在像MOVEit这样的勒索软件案件中,如果受害组织选择支付赎金,这些赔偿金额可能会更高,从而提高其损失的成本。

在MOVEit案件中,Coveware最近发布的分析估计,这次数据泄露可能会让Cl0p团伙获得高达1亿美元的赎金,公司可能会试图通过法律行动来寻求赔偿。

Collin Walke表示:“这无疑提醒了软件公司,如果他们的软件存在缺陷,他们可能会面临风险。尤其是如果公司知道存在漏洞却不采取任何措施来阻止它们。”

应该承担责任吗?

目前尚不清楚MOVEit案件是否如此,以及Progress具体应该承担何种责任,Walke表示。软件供应商在5月31日修补了Cl0p攻击中的关键漏洞,正是漏洞被披露的同一天。然而,集体诉讼声称这个漏洞自2021年以来就存在。

如果在法庭上审理此案,关键问题将取决于Progress是否在漏洞被利用之前未能识别出它,正如该案所称,从而未能履行对客户的各种责任。

根据原告的说法,这些责任包括监控和维护基本的网络安全措施;制定充分的数据保留政策;对员工进行数据安全培训;遵守行业数据安全标准;以及对用户的私人信息进行加密。

Walke说道:“如果任何零日漏洞都可以构成未能捕捉和修补的‘疏忽’,那么全球每家软件公司都会面临风险。然而,如果疏忽要求对零日漏洞的通知,然后是未能采取行动,那么可能承担责任的公司范围将被限制为那些知道此漏洞并选择忽视它的公司。”

当然,如果公司决定达成和解,这些问题都将不再重要,而这似乎是可能的,尤其是如果案件继续增加。

MOVEit的一位发言人表示,Progress不对未决诉讼发表评论。发言人表示,目前公司的重点“仍然在与客户密切合作,以便他们可以采取必要的步骤进一步加强其环境安全性,包括应用我们开发的补丁。”

未来的影响是什么?

这些案件出现在一个关键时刻,讨论和潜在的关于软件供应商责任的立法正在升温,拜登政府正在考虑其应对方案。拜登政府于3月发布的《国家网络安全战略》承认,在当前已认可的责任范式下,软件供应商很少因其解决方案中的漏洞受到利用而被追究责任。

“无论是根据合同、产品责任还是普通法疏忽理论,迄今为止,软件制造商几乎普遍成功地避免了实质性的责任。”提供综合端点管理的Tanium全球执行接触高级顾问Mark Millender指出。

《国家网络安全战略》提出,政府、国会和私营部门应共同努力制定立法,以建立此类责任,虽然这个过程需要时间,但最终是必要的,他说道。

Millender说:”解决缺乏问责制是至关重要的,以推动市场生产更安全的产品和服务,同时保留创新。”

“如今,软件已经成为许多物理产品的一部分,因此软件行业无法因其产品复杂或难以调试而宣称拥有特殊豁免权。” Cyware的Leichter表示。”如果这起诉讼成功,可能会激发对软件供应商提出更多索赔,但这是让软件主导世界的不可避免的代价。”

推荐阅读:

eBay用户注意:俄罗斯的“Telekopye”电报钓鱼机器人。eBay用户注意:俄罗斯的“Telekopye”Telegram电报钓鱼机器人。-暗网

“暗”网到底是什么?只有变态和黑客才能进吗?

  • 点赞
  • 打赏
请选择打赏方式
  • ERC-20
  • TRC-20