De Tovenaar van Oz had gelijk: “Let niet op de man achter het gordijn.” Dat komt omdat volgens an FTC-schikkinghad computerbedrijf Lenovo aandacht moeten besteden aan de ‘man in het midden’. In dit geval was de “man in the middle” vooraf geladen software die de persoonlijke informatie van consumenten in gevaar bracht door schadelijke man-in-the-middle-aanvallen.
Toen mensen voor het eerst met hun nieuwe Lenovo-computers op een winkelsite surften, kregen ze een eenmalige pop-upmelding met de tekst: “Ontdek winkelen met VisualDiscovery: uw browser is voorzien van VisualDiscovery, waarmee u visueel vergelijkbare producten en de beste prijzen kunt ontdekken terwijl u winkelt.” Wat was VisualDiscovery? Het was adware die was aangepast aan de specificaties van Lenovo door Palo Alto-ontwikkelaar Superfish. En wat deed VisualDiscovery? Telkens wanneer een consument op een winkelsite over een productafbeelding zweefde, liet VisualDiscovery pop-upadvertenties zien van gelijksoortige producten die werden verkocht door de retailpartners van Superfish. Maar dat is niet alles.
Op aanwijzing van Lenovo heeft Superfish VisualDiscovery aangepast zodat het in alle browsers zou werken, inclusief browsers die consumenten na aankoop hebben geïnstalleerd. Om dat te doen, heeft de software een tool ingebouwd die de veiligheidsmaatregelen van sites met gecodeerde verbindingen in gevaar brengt. (Consumenten herkennen een gecodeerde verbinding aan de “s” in de httpS:// URL.) U wilt de klacht lezen voor meer informatie, maar hier is de verkorte versie van waarom dat een noodlottige beslissing bleek te zijn.
Https://-websites gebruiken digitale certificaten als een vorm van elektronische inloggegevens die aan de browsers van consumenten worden gepresenteerd om te helpen verifiëren dat de site authentiek is en geen bedrieger is. VisualDiscovery heeft echter de digitale certificaten voor https:// websites vervangen door eigen certificaten. De certificaten van de software lieten zowel de site als de browser geloven dat er een directe, gecodeerde verbinding was, terwijl de software zichzelf in feite opzette als een man-in-the-middle. Hierdoor kreeg de software toegang tot alle gevoelige informatie die een consument via internet verzond, ook op gecodeerde sites. Bovendien stuurde de software de URL’s van sites die consumenten bezochten, IP-adressen en een unieke identificatiecode die aan elke laptop was toegewezen naar Superfish. En dat alles gebeurde zonder medeweten of toestemming van de consument.
De klacht beweert dat de man-in-the-middle-status van de software twee ernstige beveiligingsproblemen heeft veroorzaakt. Ten eerste zou de consument een waarschuwing moeten krijgen wanneer een consument een site bezoekt met een niet-vertrouwde verbinding – bijvoorbeeld een site waar hackers gevoelige gegevens kunnen onderscheppen. Maar al dat gedoe met de certificaten zorgde ervoor dat consumenten niet de gebruikelijke waarschuwing kregen, waardoor hun gegevens in gevaar kwamen en een fundamentele vorm van bescherming die browsers bieden nutteloos werd.
De software creëerde een extra risico waardoor de persoonlijke gegevens van consumenten in gevaar kwamen. Om de gewenste functionaliteit te faciliteren heeft Superfish een licentie van een derde partij aangeschaft. In plaats van voor elke laptop een uniek wachtwoord te gebruiken, gebruikte de tool dezelfde privé-coderingssleutel met hetzelfde gemakkelijk te raden wachtwoord op elke laptop waarop VisualDiscovery was geïnstalleerd. Zodra de slechteriken het wachtwoord hadden gekraakt, konden ze alle Lenovo-bezitters met VisualDiscovery op hun laptops aanvallen met man-in-the-middle-aanvallen om zeer gevoelige informatie te onderscheppen, zoals burgerservice- en rekeningnummers, medische gegevens, inloggegevens en e-mail. De kwetsbaarheid maakte het voor aanvallers ook gemakkelijker om consumenten te misleiden om malware te downloaden op elke getroffen Lenovo-laptop. Hoe gemakkelijk was het wachtwoord te kraken? Het was de naam van het bedrijf dat de tool verkocht, een keuze die zo voor de hand liggend was dat beveiligingsonderzoekers er binnen een uur achter konden komen.
Tel één van de klacht beweert dat Lenovo op bedrieglijke wijze heeft nagelaten te onthullen dat VisualDiscovery zou fungeren als een man-in-the-middle tussen consumenten en sites waarmee zij communiceerden, inclusief gevoelige communicatie op gecodeerde https://-sites. Deze telling beweert ook dat het misleidend was om niet bekend te maken dat software de browsegegevens van consumenten naar Superfish zou sturen. In Count Two wordt aangevoerd dat het een oneerlijke praktijk van Lenovo was om man-in-the-middle-software vooraf te installeren zonder de consumenten hiervan tijdig op de hoogte te stellen en hun geïnformeerde toestemming te verkrijgen. In punt drie wordt aangevoerd dat het onvermogen van Lenovo om redelijke stappen te ondernemen om de veiligheidsrisico’s die door de vooraf geïnstalleerde software worden veroorzaakt, te beoordelen en aan te pakken eveneens een oneerlijke praktijk was.
De voorgestelde volgorde verbiedt Lenovo een verkeerde voorstelling van zaken te geven over een groot aantal functies van bepaalde vooraf geïnstalleerde software, inclusief de vraag of er advertenties, inclusief pop-upadvertenties, worden weergegeven of persoonlijke gegevens van consumenten worden verzonden. Het bevel verbiedt Lenovo ook om bepaalde soorten software vooraf te installeren zonder eerst de uitdrukkelijke toestemming van de consument te verkrijgen. Bovendien zal Lenovo een uitgebreid softwarebeveiligingsprogramma moeten opzetten. U kunt een openbare reactie indienen over de voorgestelde schikking uiterlijk op 5 oktober 2017.
Wat kunnen andere bedrijven leren van de Lenovo-rechtszaak?
Als het gaat om de privacy van de persoonlijke informatie van consumenten, is transparantie het beste beleid. Volgens de klacht kwam Lenovo in de problemen omdat het de consumenten niet vertelde – en ook geen toestemming kreeg – dat VisualDiscovery al hun internetcommunicatie zou onderscheppen, ook op gevoelige websites, en bepaalde browse-informatie naar Superfish zou doorgeven. Sommigen vragen zich misschien af waarom consumenten VisualDiscovery niet gewoon hebben uitgeschakeld. Het probleem was dat Lenovo consumenten nooit duidelijk uitlegde wat er achter de schermen – en achter de schermen – gebeurde. Het voorgestelde besluit vereist onder meer dat Lenovo over een mechanisme beschikt waarmee consumenten hun uitdrukkelijke toestemming kunnen intrekken door zich af te melden of de gedekte software uit te schakelen. Bestelbepalingen zijn uiteraard alleen op dat bedrijf van toepassing, maar voor elk bedrijf geldt dat het duidelijk vooraf uitleggen van zaken en het aanbieden van eenvoudig uit te voeren opties de loyaliteit van de consument bevordert.
Houd rekening met de risico’s van het wijzigen van bestaande beveiligingsfuncties. Als Begin met beveiliging maakt duidelijk dat beveiligingsprotocollen niet voor niets bestaan en dat het riskant kan zijn om ermee om te gaan. Zorg ervoor dat de software van derden die u bij uw product levert, de persoonlijke gegevens van consumenten niet in gevaar brengt.
Houd toezicht op uw softwareleveranciers. Zelfs als u externe leveranciers inhuurt, is de veiligheid van uw producten uiteindelijk uw verantwoordelijkheid. In de klacht wordt aangevoerd dat het onvermogen van Lenovo om redelijke maatregelen te nemen om de veiligheidsrisico’s die voortvloeien uit de installatie van software van derden te beoordelen en aan te pakken, een oneerlijke praktijk was. Wat is de afhaaltip voor jouw bedrijf? Doe uw due diligence. Voordat u leveranciers inhuurt, moet u ervoor zorgen dat zij in staat zijn een redelijke beveiliging te handhaven. Neem bepalingen op in uw contract die betrekking hebben op de beveiliging. En voer uw eigen tests uit, of sta erop dat uw leveranciers u solide documentatie verstrekken waarin wordt bevestigd dat zij hun eigen passende tests hebben uitgevoerd.
