美聯(lián)邦貿(mào)易委員會(FTC)警告稱，如果美國企業(yè)未能保護客戶數(shù)據(jù)免受Log4Shell(廣泛使用的Log4j Java日志庫中的一個零日漏洞)的影響，那么可能要面臨法律后果。

在本周的一份警報中，改消費者保護機構警告稱，12月首次發(fā)現(xiàn)的這個“嚴重”漏洞正在被越來越多的攻擊者利用，另外還對數(shù)百萬消費者產(chǎn)品構成“嚴重風險”。這封公開信敦促各組織緩解該漏洞以減少對消費者造成傷害的可能性并避免潛在的法律行動。

該機構說道：“當漏洞被發(fā)現(xiàn)和利用時，它有可能造成個人信息的丟失或泄露、財務損失和其他不可逆轉(zhuǎn)的傷害。采取合理措施減輕已知軟件漏洞的責任牽涉到法律，包括《聯(lián)邦貿(mào)易委員會法》和《格雷姆-里奇-比利雷法案》。 至關重要的是，依賴Log4j的公司及其供應商現(xiàn)在就要采取行動以減少對消費者造成傷害的可能性并避免來自FTC的法律行動。”

FTC強調(diào)了Equifax的案例，該公司曾在2017年因沒有修補一個已知的Apache Struts缺陷導致1.47億消費者的敏感信息被泄露。該信用報告機構隨后同意支付7億美元以此跟該機構和個別州達成和解。

“FTC打算利用其充分的法律權力追究那些未能采取合理措施保護消費者數(shù)據(jù)的公司，從而使其免受Log4j或未來類似的已知漏洞的影響，”FTC說道。另外它還計劃在未來類似的已知漏洞的情況下運用其法律權力來保護消費者。

對于渴望躲避潛在的數(shù)百萬美元罰款的組織，F(xiàn)TC鼓勵他們遵循美國網(wǎng)絡安全和基礎設施安全局(CISA)發(fā)布的指南。這敦促企業(yè)將Log4j軟件包更新到最新版本、采取措施緩解漏洞并向可能受到影響的第三方和消費者發(fā)布有關該漏洞的信息。

在FTC發(fā)出警告信號之前，微軟本周曾發(fā)出警告--Log4Shell漏洞對公司來說仍是一個復雜和高風險的情況，另外還補充稱--“在12月的最后幾周，利用漏洞的嘗試和測試仍然很多”，低技能的攻擊者和民族國家行為者都在利用這個漏洞。

此外，它還補充稱：“在這個時刻，客戶應該認為廣泛提供的利用代碼和掃描能力對他們的環(huán)境是一個真實的和現(xiàn)實的危險。由于許多軟件和服務受到影響并考慮到更新的速度，預計這將會有一個很長的補救尾巴并需要持續(xù)不斷的警惕。”