Nova lei do Reino Unido proíbe senhas padrão em dispositivos inteligentes a partir de abril de 2024
- Terça, 30th Abril, 2024
- 10:34am
O Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) está pedindo aos fabricantes de dispositivos inteligentes que cumpram a nova legislação que os proíbe de usar senhas padrão, em vigor em 29 de abril de 2024.
“A lei, conhecida como Lei de Segurança de Produtos e Infraestrutura de Telecomunicações (ou Lei PSTI), ajudará os consumidores a escolher dispositivos inteligentes que foram projetados para fornecer proteção contínua contra ataques cibernéticos”, disse o NCSC .
Para esse efeito, os fabricantes são obrigados a não fornecer dispositivos que utilizem palavras-passe predefinidas que possam ser adivinhadas, a fornecer um ponto de contacto para comunicar problemas de segurança e a indicar o período durante o qual se espera que os seus dispositivos recebam atualizações de segurança importantes.
As senhas padrão não apenas podem ser facilmente encontradas on-line, mas também atuam como um vetor para que os agentes de ameaças façam login nos dispositivos para exploração subsequente. Dito isto, uma senha padrão exclusiva é permitida por lei.
A lei, que visa impor um conjunto de padrões mínimos de segurança em todos os níveis e evitar que dispositivos vulneráveis sejam encurralados em uma botnet DDoS como o Mirai , aplica-se aos seguintes produtos que podem ser conectados à Internet -
Alto-falantes inteligentes, TVs inteligentes e dispositivos de streaming
Campainhas inteligentes, monitores para bebês e câmeras de segurança
Tablets celulares, smartphones e consoles de jogos
Rastreadores de fitness vestíveis (incluindo relógios inteligentes)
Eletrodomésticos inteligentes (como lâmpadas, plugues, chaleiras, termostatos, fornos, geladeiras, produtos de limpeza e máquinas de lavar)
As empresas que não cumpram as disposições da lei PSTI estão sujeitas a enfrentar recalls e sanções monetárias, atraindo multas de até £ 10 milhões (US$ 12,5 milhões) ou 4% de suas receitas anuais globais, dependendo do que for maior.
O desenvolvimento torna o Reino Unido o primeiro país do mundo a proibir nomes de usuário e senhas padrão de dispositivos IoT. De acordo com o relatório de ameaças DDoS da Cloudflare para o primeiro trimestre de 2024, os ataques baseados em Mirai continuam a prevalecer, apesar da botnet original ter sido derrubada em 2016.
“Quatro em cada 100 ataques DDoS HTTP e dois em cada 100 ataques DDoS L3/4 são lançados por uma botnet variante do Mirai”, disseram Omer Yoachimik e Jorge Pacheco . "O código-fonte do Mirai foi tornado público e, ao longo dos anos, houve muitas permutações do original."
Também segue uma multa de US$ 196 milhões emitida pela Comissão Federal de Comunicações (FCC) dos EUA contra as operadoras de telecomunicações AT&T (US$ 57 milhões), Sprint (US$ 12 milhões), T-Mobile (US$ 80 milhões) e Verizon (US$ 47 milhões) por compartilhar ilegalmente clientes ' dados de localização em tempo real sem o seu consentimento para agregadores como LocationSmart e Zumigo, que então venderam as informações a provedores de serviços terceirizados baseados em localização.
“Ninguém que assinou um plano de celular pensou que estava dando permissão para sua companhia telefônica vender um registro detalhado de seus movimentos a qualquer pessoa com cartão de crédito”, disse o senador dos EUA Ron Wyden, que revelou a prática em 2018, em um comunicado. declaração.
Fonte: https://thehackernews.com/2024/04/new-uk-law-bans-default-passwords-on.html