Het Britse National Cyber Security Centre (NCSC) roept fabrikanten van slimme apparaten op om vanaf 29 april 2024 te voldoen aan de nieuwe wetgeving die hen verbiedt standaardwachtwoorden te gebruiken.
“De wet, bekend als de Product Security and Telecommunications Infrastructure Act (of PSTI Act), zal consumenten helpen slimme apparaten te kiezen die zijn ontworpen om voortdurende bescherming te bieden tegen cyberaanvallen”, aldus het NCSC.
Daartoe zijn fabrikanten verplicht geen apparaten te leveren die gebruik maken van raadbare standaardwachtwoorden, geen contactpunt aan te bieden waar beveiligingsproblemen kunnen worden gemeld, en niet aan te geven hoelang hun apparaten naar verwachting belangrijke beveiligingsupdates zullen ontvangen.
Standaardwachtwoorden kunnen niet alleen gemakkelijk online worden gevonden, ze fungeren ook als een vector voor bedreigingsactoren om in te loggen op apparaten voor vervolgexploitatie. Dat gezegd hebbende, is een uniek standaardwachtwoord volgens de wet toegestaan.
De wet, die tot doel heeft een reeks minimale beveiligingsnormen over de hele linie af te dwingen en te voorkomen dat kwetsbare apparaten in een DDoS-botnet zoals Mirai worden ondergebracht, is van toepassing op de volgende producten die met internet kunnen worden verbonden:
- Slimme luidsprekers, smart-tv's en streamingapparaten
- Slimme deurbellen, babyfoons en beveiligingscamera's
- Mobiele tablets, smartphones en gameconsoles
- Draagbare fitnesstrackers (inclusief slimme horloges)
- Slimme huishoudelijke apparaten (zoals gloeilampen, stekkers, waterkokers, thermostaten, ovens, koelkasten, schoonmaakmiddelen en wasmachines)
Bedrijven die zich niet aan de bepalingen van de PSTI-wet houden, lopen het risico te worden teruggeroepen en geldboetes opgelegd, waarbij boetes kunnen worden opgelegd van maximaal £10 miljoen ($12,5 miljoen) of 4% van hun wereldwijde jaaromzet, afhankelijk van welke van de twee het hoogste is.
Deze ontwikkeling maakt Groot-Brittannië het eerste land ter wereld dat standaardgebruikersnamen en wachtwoorden van IoT-apparaten verbiedt. Volgens het DDoS-dreigingsrapport van Cloudflare voor het eerste kwartaal van 2024 blijven op Mirai gebaseerde aanvallen wijdverbreid ondanks dat het oorspronkelijke botnet in 2016 werd verwijderd.
“Vier op de honderd HTTP DDoS-aanvallen en twee op de honderd L3/4 DDoS-aanvallen worden gelanceerd door een Mirai-variant botnet”, zeggen Omer Yoachimik en Jorge Pacheco. “De Mirai-broncode is openbaar gemaakt en door de jaren heen zijn er veel varianten van het origineel geweest.”
Het volgt ook op een boete van $196 miljoen die de Amerikaanse Federal Communications Commission (FCC) heeft opgelegd aan telecomaanbieders AT&T ($57 miljoen), Sprint ($12 miljoen), T-Mobile ($80 miljoen) en Verizon ($47 miljoen) voor het illegaal delen van klanten. real-time locatiegegevens zonder hun toestemming aan aggregators, die de informatie vervolgens verkochten aan externe locatiegebaseerde dienstverleners.
“Niemand die zich had aangemeld voor een mobiel abonnement dacht dat ze toestemming gaven aan hun telefoonmaatschappij om een gedetailleerd overzicht van hun bewegingen te verkopen aan iemand met een creditcard”, zei de Amerikaanse senator Ron Wyden, die de praktijk in 2018 onthulde, in een stelling.
