Quando os consumidores atualizaram o Java SE, que foi instalado em mais de 850 milhões de computadores, a Oracle Corporation prometeu “acesso seguro ao mundo do incrível conteúdo Java” e afirmou que as atualizações tinham “o mais recente. . . melhorias de segurança.” Mas de acordo com um acordo anunciado pela FTCquando se tratava dessas atualizações de segurança, o Java SE estava servindo descafeinado.
Os consumidores usam Java para fazer tudo, desde jogar jogos online até visualizar imagens 3D. Mas um dos desafios enfrentados pelos usuários do Java SE era que os invasores monitoravam de perto as atualizações periódicas de segurança da Oracle para descobrir os pontos fracos das versões anteriores. Os bandidos então criariam malware – kits de exploração – direcionados a pontos fracos em iterações anteriores do Java SE. Os resultados podem ser catastróficos para os consumidores. Sabe-se que os invasores instalam registradores de pressionamento de tecla para capturar nomes de usuário e senhas. Próxima parada: uma disputa com cartões de crédito, contas bancárias e PayPal das pessoas.
Mas essas atualizações de segurança do Java SE não resolveriam o problema? Você gostaria de pensar que sim, mas para alguns consumidores não foi isso que aconteceu. As pessoas não foram informadas de que as atualizações do Java SE removiam automaticamente apenas a versão mais recente instalada no computador. Eles também não sabiam que as atualizações não removeriam nenhuma versão lançada antes de uma determinada data. Mas de acordo com a FTC, quem sabia, mas não explicou o problema com clareza? Oráculo, é quem.
Em uma página de perguntas frequentes, a Oracle revelou que “versões antigas e sem suporte de Java em seu sistema apresentam () um sério risco de segurança” e que “(u)instalar versões mais antigas de Java de seu sistema garante que os aplicativos Java serão executados com o máximo de eficiência. -segurança atualizada.” Mas havia dois problemas com isso. Primeiro, neste contexto, “FAQ” pode ter sido uma descrição imprecisa porque com que frequência os consumidores típicos acessam páginas como essa? Em segundo lugar, mesmo que os consumidores encontrassem essa página – um “se” duvidoso – ela ainda não explicava que o processo de atualização do Java SE não removeu todas as iterações mais antigas e inseguras do software.
Além do mais, de acordo com a reclamação da FTCem 2011 a Oracle sabia que seu processo de atualização não era suficiente para garantir que os consumidores pudessem sempre remover todas as versões mais antigas e inseguras. Como observou abertamente um membro da Oracle, o “mecanismo de atualização do Java não é agressivo o suficiente ou simplesmente não funciona”. No entanto, como alega a FTC, a Oracle continuou a lançar atualizações de segurança até agosto de 2014, sem revelar que as atualizações podem ter deixado versões vulneráveis do Java SE intactas – e, portanto, abertas a ataques. À luz das declarações feitas pela Oracle, a FTC afirma que a omissão da empresa em divulgar foi enganosa.
A ordem proposta proíbe declarações falsas sobre a privacidade ou segurança de determinados softwares Oracle. Também exige que a Oracle garanta que as telas de atualização e instalação do Java SE informem aos consumidores se certas versões mais antigas estão em seus computadores e lhes dêem a opção de excluí-las. A Oracle também terá que notificar os consumidores afetados e orientá-los sobre como resolver o problema.
O que sua empresa deve tirar do caso?
As primeiras coisas primeiro. Certifique-se de ter corrigido o problema em seus próprios computadores. O acordo exige que a Oracle notifique os usuários Java sobre a vulnerabilidade e forneça ferramentas para corrigi-la. Enquanto isso, você tem várias opções para remover versões antigas do Java SE. Siga as instruções no Oracle java.com/uninstall página ou siga uma destas etapas:
Há outra lição para as empresas. Durante mais de uma década, a FTC aconselhou as empresas a testarem os seus produtos e serviços quanto a riscos graves, bem conhecidos e razoavelmente previsíveis. É um ponto tão importante que é repetido no folheto comercial da FTC, Comece com Segurança. Mas o corolário óbvio desse conselho é que, quando os testes revelarem problemas, agir rapidamente para resolver o problema e alertar claramente os consumidores afetados.
Envie comentários sobre o acordo proposto até 20 de janeiro de 2016. E adicione aos favoritos a página de segurança de dados do Business Center para obter orientações práticas, vídeos, casos e outros recursos gratuitos para ajudá-lo a começar – e manter – a segurança.