Lenovo оштрафовали на 3,5 миллиона долларов

Китайская компания Lenovo пришла к соглашению с Федеральной торговой комиссией США (FTC) и генеральными прокурорами 32 штатов. Государственный регулятор и власти этих штатов обвиняли Lenovo в том, что в 2014-2015 годах она выпустила порядка 750 тысяч ноутбуков с предустановленным на них рекламным ПО VisualDiscovery от компании Superfish, не уведомив об этом пользователей. Когда в ходе веб-сессий пользователи этих ноутбуков наводили курсор на то или иное изображение, на экране появлялась всплывающая реклама товара, визуально сходного с изображением и продающегося в одном из магазинов-партнеров Superfish.

Очевидно, что такая «самодеятельность» ноутбуков и сама по себе раздражала многих пользователей. Но куда серьезнее то, что механизм, с помощью которого реализовывалась демонстрация всплывающих баннеров, содержал опасную уязвимость, потенциально позволявшую осуществлять атаки по типу Man-in-the-Middle. Тем не менее, наказание оказалось, по мнению многих специалистов по кибербезопасности, чрезвычайно мягким. По итогам соглашения Lenovo выплатит штраф в сумме 3,5 миллиона долларов. Компания также обязалась информировать покупателей о характере предустановленного ПО и не устанавливать его без осведомленного согласия пользователей. Кроме того, на протяжении следующих 20 лет Lenovo будет поддерживать программу аудита независимыми специалистами безопасности программ, предустанавливаемых на компьютеры.