De Amerikaanse Federal Trade Commission stuurt een niet mis te verstande waarschuwing: wie Log4j niet patcht en slachtoffer wordt van een datalek, is mogelijk juridisch verantwoordelijk voor dat lek.
Log4j is een open source tool die in verschillende andere softwaretools is ingebakken. Begin december raakte bekend dat het hulpmiddel kwetsbaar is voor misbruik en dat er snel moest worden gepatcht.
Die patch is er wel, maar omdat het om een stukje code gaat dat vaak verwerkt zit in andere toepassingen, is het wel een klus om uit te zoeken waar Log4j in verwerkt zit. Gisteren waarschuwde ook Microsoft dat het nog steeds aanvallen op Log4j ziet en dat dit risico zal blijven duren.
Ook de FTC dringt nu ook aan om te patchen en doet dat met een stevige stok achter de deur. De autoriteit wijst er op dat wie dit soort gekende kwetsbaarheden niet aanpakt, mogelijk mee zelf verantwoordelijk is als er data uitlekt of andere schade wordt berokkend.
‘De FTC zal haar volledige juridische autoriteit gebruiken om bedrijven aan te pakken die niet de nodige stappen nemen om consumentendata te beschermen van blootstelling door misbruik van Log4j of gelijkaardige gekende kwetsbaarheden.’ Aldus de organisatie op haar site.
Het verwijst daarbij ook naar een eendere situatie bij Equifax. Het Kredietbedrijf loste een gekende kwetsbaarheid niet op en werd slachtoffer van een hack. Daardoor kon financiële informatie van 147,7 miljoen consumenten worden gestolen. Equifax schikte de zaak in 2019 voor 700 miljoen dollar.
Fout opgemerkt of meer nieuws? Meld het hier