Trung tâm An ninh mạng Quốc gia Anh (NCSC) đang kêu gọi các nhà sản xuất thiết bị thông minh tuân thủ luật mới cấm họ sử dụng mật khẩu mặc định, có hiệu lực từ ngày 29/4/2024.
"Luật, được gọi là Đạo luật Cơ sở hạ tầng Viễn thông và An ninh Sản phẩm (hoặc đạo luật PSTI), sẽ giúp người tiêu dùng lựa chọn các thiết bị thông minh được thiết kế để cung cấp sự bảo vệ liên tục chống lại các cuộc tấn công mạng", NCSC cho biết.
Cuối cùng, các nhà sản xuất được yêu cầu không cung cấp các thiết bị sử dụng mật khẩu mặc định có thể đoán được, cung cấp đầu mối liên hệ để báo cáo các vấn đề bảo mật và nêu rõ khoảng thời gian mà thiết bị của họ dự kiến sẽ nhận được các bản cập nhật bảo mật quan trọng.
Mật khẩu mặc định không chỉ có thể dễ dàng tìm thấy trực tuyến, chúng còn hoạt động như một vectơ cho các tác nhân đe dọa đăng nhập vào các thiết bị để khai thác tiếp theo. Điều đó nói rằng, một mật khẩu mặc định duy nhất được cho phép theo luật.
Luật, nhằm mục đích thực thi một bộ tiêu chuẩn bảo mật tối thiểu trên diện rộng và ngăn chặn các thiết bị dễ bị tấn công vào mạng botnet DDoS như Mirai, áp dụng cho các sản phẩm sau đây có thể được kết nối với internet:
- Loa thông minh, TV thông minh và thiết bị phát trực tuyến
- Chuông cửa thông minh, màn hình trẻ em và camera an ninh
- Máy tính bảng di động, điện thoại thông minh và máy chơi trò chơi
- Thiết bị theo dõi thể dục có thể đeo được (bao gồm cả đồng hồ thông minh)
- Thiết bị gia dụng thông minh (chẳng hạn như bóng đèn, phích cắm, ấm đun nước, bộ điều nhiệt, lò nướng, tủ lạnh, chất tẩy rửa và máy giặt)
Các công ty không tuân thủ các quy định của đạo luật PSTI có thể phải đối mặt với việc thu hồi và phạt tiền, bị phạt tới 10 triệu bảng Anh (12,5 triệu USD) hoặc 4% doanh thu hàng năm toàn cầu của họ, tùy thuộc vào mức nào cao hơn.
Sự phát triển này khiến Vương quốc Anh trở thành quốc gia đầu tiên trên thế giới cấm tên người dùng và mật khẩu mặc định khỏi các thiết bị IoT. Theo báo cáo mối đe dọa DDoS của Cloudflare cho quý 1 năm 2024, các cuộc tấn công dựa trên Mirai tiếp tục phổ biến mặc dù botnet ban đầu đã bị gỡ xuống vào năm 2016.
Nó cũng theo sau khoản tiền phạt 196 triệu đô la do Ủy ban Truyền thông Liên bang Hoa Kỳ (FCC) ban hành đối với các nhà mạng viễn thông AT&T (57 triệu đô la), Sprint (12 triệu đô la), T-Mobile (80 triệu đô la) và Verizon (47 triệu đô la) vì chia sẻ bất hợp pháp dữ liệu vị trí thời gian thực của khách hàng mà không có sự đồng ý của họ cho các nhà tổng hợp, những người sau đó đã bán thông tin cho các nhà cung cấp dịch vụ dựa trên vị trí của bên thứ ba.