Toen consumenten Java SE updaten, dat op meer dan 850 miljoen computers is geïnstalleerd, beloofde Oracle Corporation “veilige toegang tot een wereld vol verbazingwekkende Java-inhoud” en verklaarde dat de update “…de nieuwste beveiligingsverbeteringen” had. Maar volgens een schikking die zojuist door de FTC is aangekondigdals het om die beveiligingsupdates gaat, giet Java SE cafeïnevrij.
Consumenten gebruiken Java voor allerlei doeleinden, van het spelen van online games tot het bekijken van 3D-beelden. Maar een van de uitdagingen waarmee Java SE-gebruikers worden geconfronteerd, is dat aanvallers de regelmatige beveiligingsupdates van Oracle nauwlettend in de gaten houden op zwakke punten in eerdere versies. De slechteriken zouden vervolgens malware – exploitkits – ontwerpen die zich richtten op zwakke punten in eerdere versies van Java SE. De gevolgen kunnen desastreus zijn voor de consument. Het is bekend dat aanvallers keystroke loggers installeren om gebruikersnamen en wachtwoorden vast te leggen. Volgende stop: het afpakken van de creditcards, bank- en PayPal-rekeningen van mensen.
Maar zou een Java SE-beveiligingsupdate dit probleem niet oplossen? Dat zou je misschien denken, maar voor sommige consumenten is dat niet het geval. Mensen wordt niet verteld dat automatische Java SE-updates alleen de nieuwste versie verwijderen die op de computer is geïnstalleerd. Ze weten ook niet dat updates geen versies verwijderen die vóór een bepaalde datum zijn uitgebracht. Maar volgens de FTC: wie weet het probleem wel, maar legt het niet duidelijk uit? Orakel, dat is wie.
Op de FAQ-pagina onthult Oracle dat “oude, niet-ondersteunde versies van Java op uw systeem ernstige veiligheidsrisico’s met zich meebrengen” en dat “(u)het installeren van een oudere versie van Java op uw systeem ervoor zorgt dat Java-applicaties met de modernste beveiliging zullen werken.” Maar daar zijn twee problemen mee. Ten eerste kan ‘FAQ’ in deze context een onnauwkeurige omschrijving zijn, want hoe vaak navigeert de gemiddelde consument naar zo’n pagina? Ten tweede: zelfs als consumenten de pagina hebben gevonden – hoe twijfelachtig dat ook mag zijn – maakt dit nog steeds niet duidelijk dat het Java SE-updateproces niet alle oude, onveilige versies van de software verwijdert.
Nog meer, volgens de FTC-klachtin 2011 erkende Oracle dat het updateproces onvoldoende was om ervoor te zorgen dat consumenten altijd alle oude en onveilige versies konden verwijderen. Zoals een insider van Oracle opmerkte: “De updatemechanismen van Java zijn niet agressief genoeg of werken niet.” Zoals de FTC beweert, bleef Oracle echter tot augustus 2014 beveiligingsupdates uitbrengen zonder te onthullen dat de updates kwetsbare versies van Java SE onaangeroerd zouden kunnen laten – en daarom vatbaar zouden zijn voor aanvallen. In het licht van de verklaringen die Oracle heeft afgelegd, zei de FTC dat het verzuim van het bedrijf om de informatie openbaar te maken misleidend was.
Voorgestelde bestelling verbiedt een onjuiste voorstelling van de privacy of veiligheid van bepaalde Oracle-software. Dit vereist ook dat Oracle ervoor zorgt dat de update- en installatieschermen van Java SE consumenten informeren als bepaalde oudere versies op hun computers aanwezig zijn en hen de mogelijkheid bieden deze te verwijderen. Oracle moet de betrokken consumenten ook op de hoogte stellen en hen begeleiden bij het oplossen van het probleem.
Wat moet uw bedrijf uit deze zaak leren?
Eerste dingen eerst. Zorg ervoor dat u het probleem zelf op uw computer heeft opgelost. Deze oplossing vereist dat Oracle Java-gebruikers op de hoogte stelt van het beveiligingslek en tools levert om het probleem te verhelpen. Ondertussen hebt u verschillende opties om oude versies van Java SE te verwijderen. Volg de instructies in Oracle java.com/uninstall pagina of voer een van de volgende stappen uit:
Er zijn nog andere lessen voor het bedrijfsleven. Al meer dan tien jaar adviseert de FTC bedrijven om hun producten en diensten te testen op ernstige, bekende en redelijkerwijs te voorziene risico’s. Dit is een belangrijk punt dat wordt herhaald in de zakelijke brochure van de FTC, Begin met beveiliging. Maar het duidelijke gevolg van dit advies is dat wanneer uit testen een probleem blijkt, onmiddellijk actie moet worden ondernomen om het probleem op te lossen en de getroffen consumenten duidelijk moet waarschuwen.
Dien vóór 20 januari 2016 opmerkingen in over de voorgestelde schikking. En markeer ze Pagina voor gegevensbeveiliging van Business Center voor praktische handleidingen, video’s, cases en andere gratis bronnen om u te helpen aan de slag te gaan en de beveiliging te behouden.
