הסדר פשרה עם לנובו על תוכנת מעקב במחשבים אישיים

נציבות הסחר הפדרלית בארה"ב (ה-FTC) אישרה הסדר פשרה עם חברת לנובו על כך שהתקינה במחשבים אישיים תוכנת פרסום ומעקב, ללא הצגת הודעה נאותה למשתמשים. בשנת 2014 הגישה הנציבות תלונה נגד יצרנית המחשבים, לפיה לנובו סיכנה את פרטיות לקוחותיה בכך שהתקינה תוכנת צד שלישי בשם VisualDiscovery, שאספה מידע אישי אודות משתמשים, ללא ידיעתם או הסכמתם.  

התוכנה שימשה כ"ערוץ תווך" (Man-in-the-middle) בין הדפדפן לבין האתרים אליהם גלשו המשתמשים. באופן זה נוטרלו מנגנוני האבטחה במחשב ובדפדפן, לצורך הצגת פרסומות ואיסוף מידע אישי של משתמשים, כגון פרטי התחברות לשירותים מקוונים, מספר ביטוח לאומי (Social Security Number), מידע רפואי ומידע פיננסי. 

אופן הפעולה של התוכנה גרם למחשבים האישיים שבהם הותקנה להיות פגיעים וחשופים יותר למתקפות סייבר. לדוגמה, התוכנה ניטרלה את מנגנון ההתראה בפני כניסה לאתרים לא מאובטחים או אתרים מזיקים. לפי התלונה, לנובו לא גילתה את חולשות האבטחה משום שהיא לא ביצעה הערכת סיכונים מספקת לתוכנות צד שלישי שהותקנו כברירת מחדל על מחשביה.

הסדר הפשרה קובע כי לנובו –

  1. לא תציג מצגי-שווא באשר לרכיבי התוכנה שהיא מתקינה כברירת מחדל על מחשביה, ובפרט רכיבי תוכנה אשר מציגים למשתמשים פרסומות ואוספים אודותיהם מידע אישי;
  2. תבקש את הסכמת לקוחותיה לכל התקנה והפעלה של תוכנות מהסוג הזה;
  3. תאפשר ללקוחותיה לבטל את הסכמתם להפעלת תוכנות ברירת מחדל;
  4. תפתח ותטמיע תוכנית אבטחה מקיפה, שתכלול, בין היתר, התייחסות לסיכוני אבטחה בפיתוח וניהול של תוכנות קיימות וחדשות.