Toen consumenten Java SE, dat op meer dan 850 miljoen computers is geïnstalleerd, updaten, beloofde Oracle Corporation “veilige toegang tot de wereld van verbazingwekkende Java-inhoud” en verklaarde dat de updates “de nieuwste … beveiligingsverbeteringen” hadden. Maar volgens een schikking die zojuist door de FTC is aangekondigdals het om die beveiligingsupdates ging, goot Java SE cafeïnevrij.
Consumenten gebruiken Java voor allerlei doeleinden, van het spelen van online games tot het bekijken van 3D-beelden. Maar een van de uitdagingen waarmee Java SE-gebruikers te maken kregen, was dat aanvallers de periodieke beveiligingsupdates van Oracle nauwlettend in de gaten hielden om de zwakke punten in eerdere versies te achterhalen. De slechteriken zouden dan malware – exploitkits – ontwerpen die gericht waren op zwakke plekken in eerdere Java SE-iteraties. De gevolgen kunnen catastrofaal zijn voor de consument. Het was bekend dat aanvallers keystroke loggers installeerden om gebruikersnamen en wachtwoorden vast te leggen. Volgende stop: een pak slaag met de creditcard-, bank- en PayPal-rekeningen van mensen.
Maar zouden die Java SE-beveiligingsupdates het probleem niet oplossen? Dat zou je graag denken, maar voor sommige consumenten is dat niet wat er is gebeurd. Mensen werd niet verteld dat Java SE-updates automatisch alleen de meest recente versie verwijderden die op de computer was geïnstalleerd. Ze wisten ook niet dat updates geen versies zouden verwijderen die vóór een bepaalde datum waren uitgebracht. Maar wie wist het volgens de FTC wel, maar legde het probleem niet duidelijk uit? Orakel, dat is wie.
Op een pagina met veelgestelde vragen onthulde Oracle dat “oude en niet-ondersteunde versies van Java op uw systeem een ernstig veiligheidsrisico vormen” en dat “het (u)ninstalleren van oudere versies van Java vanaf uw systeem ervoor zorgt dat Java-applicaties met de meest up-to-date beveiliging zullen werken.” Maar daar waren twee problemen mee. Ten eerste kan ‘FAQ’ in deze context een onnauwkeurige omschrijving zijn geweest, want hoe vaak bekijken gewone consumenten dit soort pagina’s? Ten tweede, zelfs als consumenten die pagina zouden vinden – een twijfelachtig als – zou dit nog steeds niet verklaren dat het Java SE-updateproces niet alle oudere, onveilige versies van de software verwijderde.
Wat meer is, volgens de klacht van de FTCIn 2011 wist Oracle dat het updateproces niet voldoende was om ervoor te zorgen dat consumenten altijd alle oudere, onveilige versies konden verwijderen. Zoals een insider van Oracle eerlijk opmerkte: “Het Java-updatemechanisme is niet agressief genoeg of werkt simpelweg niet.” Toch bleef Oracle, zoals de FTC beweert, beveiligingsupdates uitbrengen tot augustus 2014, zonder te onthullen dat de updates kwetsbare Java SE-versies mogelijk onaangeroerd hebben gelaten – en daarom openstaan voor aanvallen. In het licht van de verklaringen die Oracle heeft afgelegd, zegt de FTC dat het verzuim van het bedrijf om informatie openbaar te maken bedrieglijk was.
De voorgestelde volgorde verbiedt verkeerde voorstellingen over de privacy of veiligheid van bepaalde Oracle-software. Het vereist ook dat Oracle ervoor zorgt dat de update- en installatieschermen van Java SE consumenten vertellen of bepaalde oudere versies op hun computers staan en hen de mogelijkheid geven deze te verwijderen. Oracle zal de getroffen consumenten ook op de hoogte moeten stellen en hen moeten begeleiden bij het oplossen van het probleem.
Wat moet uw bedrijf uit de casus halen?
Eerste dingen eerst. Zorg ervoor dat u het probleem op uw eigen computers hebt opgelost. De schikking vereist dat Oracle Java-gebruikers op de hoogte stelt van het beveiligingslek en tools levert om het probleem te verhelpen. In de tussentijd heeft u verschillende mogelijkheden om oude versies van Java SE te verwijderen. Volg de instructies op die van Oracle java.com/uninstall pagina of voer een van deze stappen uit:
Er is nog een les voor bedrijven. Al meer dan tien jaar adviseert de FTC bedrijven om hun producten en diensten te testen op ernstige, bekende en redelijkerwijs te voorziene risico’s. Het is zo’n belangrijk punt dat het wordt herhaald in de zakelijke brochure van de FTC: Begin met beveiliging. Maar het voor de hand liggende gevolg van dat advies is dat wanneer testen problemen aan het licht brengen, er snel actie moet worden ondernomen om het probleem op te lossen en de betrokken consumenten duidelijk moet worden gewaarschuwd.
Dien vóór 20 januari 2016 opmerkingen in over de voorgestelde schikking. En maak een bladwijzer van de De gegevensbeveiligingspagina van Business Center voor praktische begeleiding, video’s, cases en andere gratis bronnen om u te helpen met beveiliging te beginnen en deze vol te houden.
