Blog - Lenovo Pagará Multa De Us$ 3,5 Milhões Pela Venda De Notebooks Com Segurança Comprometida

06/09/2017

Lenovo pagará multa de US$ 3,5 milhões pela venda de notebooks com segurança comprometida

Lenovo pagará multa de US$ 3,5 milhões pela venda de notebooks com segurança comprometida

Além de pagar US$ 3,5 milhões para 32 estados nos EUA, a fabricante chinesa de hardware também estará sujeita a verificações de segurança auditadas pelos próximos 20 anos.

 

A Lenovo, uma das maiores fabricantes de notebooks do planeta, concordou em pagar US$ 3,5 milhões e fazer mudanças na venda de notebooks, para resolver as alegações de que vendeu dispositivos com software pré-instalados que comprometeram a segurança dos usuários.

Os modelos comprometidos que foi lançado durante o período do final de 2014 e início de 2015 - embora a empresa não tenha divulgado detalhes de quais modelos foram comprometidos

 

Segurança em risco

Ao rastrear as pesquisas na web e a atividade de navegação do usuário, o programa VisualDiscovery conseguiu colocar anúncios adicionais em sites que visitavam e fez isso sem consentimento do usuário.

A da Comissão Federal de Comércio dos Estados Unidos (FTC) alega que o método usado pelo VisualDiscovery é inseguro, pois substitui os certificados digitais, que indicam a um navegador que os sites criptografados são autênticos, pelos seus próprios certificados, substituindo-os sem primeiro verificar se os certificados digitais eram válidos.

O VisualDiscovery também usou a mesma senha de baixa resistência em todos os notebooks afetados, em vez de criar uma senha exclusiva para cada dispositivo.

O software também conseguiu acessar as informações confidenciais dos consumidores, incluindo números de senha, credenciais de login, informações médicas, informações financeiras e de pagamento, disse a FTC.

A finalidade do VisualDiscovery, é atuar como um software de publicidade, desenvolvido pela empresa Superfish, e fornecia anúncios pop-up durante a navegação do usuário na internet.

A fabricante chinesa de computadores diz que o VisualDiscovery ajuda os usuários a encontrar produtos on-line, analisando imagens e apresentando produtos similares e mais baratos.

Mas os analistas de segurança e a FTC afirmam que o VisualDiscovery realmente faz é exibir anúncios intrusivos, bem como comprometer informações privadas, como detalhes do banco e senhas.

 

VisualDiscovery

O software parece afetar o Internet Explorer e o Google Chrome nos notebooks Lenovo vendidos entre setembro de 2014 e janeiro de 2015. Os usuários começaram a levantar queixas e preocupações sobre o software já em setembro de 2014.

A informação a qual o software tinha acesso não foi enviada para a desenvolvedora Superfish, apesar disso, a Lenovo comprometeu a privacidade dos consumidores quando pré-instalou um software que poderia acessar informações sensíveis dos consumidores sem aviso prévio ou consentimento de sua utilização", afirmou o presidente da FTC, Maureen Ohlhausen, em um comunicado.

"Essa conduta é ainda mais séria, porque o software comprometeu as proteções de segurança on-line que os consumidores confiam".

A FTC também argumenta que a Lenovo não conseguiu descobrir as vulnerabilidades porque não avaliou adequadamente os riscos do software de terceiros instalado em seus notebooks.

 

Alívio

A Lenovo disse em uma declaração que parou de vender unidades com o software pré-instalado no início de 2015 e que funcionou com provedores de software antivírus para desabilitar e remover esse software de PCs vendidos antes dessa data.

Ela também disse que não tem conhecimento de casos em que terceiros tenha explorado dados dos usuários através deste programa.

"Apesar da Lenovo discordar das alegações contidas nessas queixas, estamos satisfeitos por encerrar esse assunto após 2 anos", disse a empresa.

"Até à data, não temos conhecimento de nenhuma instância real onde um terceiro tenha explorado as vulnerabilidades para obter acesso às comunicações de um usuário", disse a empresa em uma declaração de e-mail.

Como parte do acordo, a Lenovo concordou em obter o consentimento dos consumidores antes de instalar esse tipo de software, disse a FTC, além de que, nos próximos 20 anos, a empresa chinesa também deve executar um programa de segurança de software para a maioria dos softwares de pré-instalados em seu aplicativo.

Por sua vez, a Lenovo disse que introduziu uma política para limitar a quantidade de softwares que instala em seus dispositivos. A empresa também afirma ter criado um processo de revisão de segurança.