Генеральна прокуратура штату Техас подала позов проти виробника мережевого обладнання TP-Link, звинувачуючи компанію у введенні споживачів в оману та створенні загрози національній безпеці США. У центрі претензій — уразливості в прошивках роутерів, їх масове використання у ботнетах та спірне маркування країни походження пристроїв.
Позов штату Техас проти TP-Link: маркування та ланцюжок постачання
Розслідування, розпочате восени 2024 року, призвело до офіційного позову генпрокурора Техасу Кена Пакстона. Влада штату стверджує, що TP-Link позначала обладнання маркуванням «Made in Vietnam», хоча ключові компоненти та значна частина ланцюжка постачання, за даними позивача, були тісно пов’язані з Китаєм.
Техас робить акцент на тому, що китайське законодавство про нацбезпеку та розвідку зобов’язує місцеві компанії співпрацювати зі спецслужбами, включно з наданням доступу до даних користувачів. У такій парадигмі походження апаратної та програмної частини мережевого обладнання стає не лише питанням чесного маркування, а й потенційним чинником ризику для державних і корпоративних інформаційних систем.
Уразливості прошивок TP-Link та ботнет Quad7
Ключова частина позову стосується безпеки програмного забезпечення. За твердженням прокуратури, TP-Link позиціонувала свої роутери як захищені, хоча прошивки містили відомі уразливості, які активно експлуатувалися кіберзлочинцями, включно з угрупованнями, пов’язаними з Китаєм.
Як ботнет Quad7 використовує домашні та офісні роутери
В документах окремо згадується ботнет Quad7 (також відомий як CovertNetwork-1658 або xlogin), про який публічно повідомила Microsoft у жовтні 2024 року. За аналітичними звітами, значну частину інфраструктури Quad7 становлять зламані домашні та офісні маршрутизатори, помітна доля яких — пристрої TP-Link. Інфіковані роутери застосовувалися, зокрема, для атак password spray — масового підбору простих паролів до великої кількості облікових записів без різкого підвищення підозрілої активності.
Слабкий захист прошивок, відсутність або затримки оновлень перетворюють роутер на «точку входу» в цифрову інфраструктуру домівок і бізнесу. За оцінками галузі, мільйони домашніх маршрутизаторів у світі працюють на застарілому ПЗ, що робить ботнети на кшталт Quad7 стабільним та економічно вигідним інструментом для кіберзлочинців.
Національна безпека та приватність трафіку користувачів
Пакстон наголошує, що продукція TP-Link, яка «практично повністю складається з китайських компонентів», у поєднанні з оспорюваним маркуванням і уразливими прошивками створює ризики прихованого моніторингу й масового збору даних. Роутер контролює весь інтернет-трафік користувача: від авторизаційних даних та листування до доступу до банківських сервісів і хмарних корпоративних ресурсів.
У позові Техас вимагає не лише фінансових штрафів, а й судової заборони, що зобов’яже TP-Link:
- прозоро розкривати походження обладнання та ланцюжки постачання;
- припинити збір і обробку даних без чіткого поінформованого погодження користувачів;
- узгодити маркетингові заяви щодо безпеки з реальними технічними характеристиками пристроїв.
Жорстка лінія Техасу: від смарт-ТВ до мережевого обладнання
Позов проти TP-Link вписується в ширшу регуляторну стратегію штату. У грудні 2025 року Техас подав іски проти п’яти найбільших виробників телевізорів — Sony, Samsung, LG, Hisense і TCL — за прихований збір даних через технологію ACR (Automated Content Recognition), що відстежує, який контент переглядає користувач.
Ці справи демонструють, що регулятори дедалі активніше розглядають споживчу електроніку — від смарт-ТВ до роутерів — як частину єдиного цифрового середовища, де будь-який підключений пристрій може стати каналом витоку даних або елементом кібератаки.
Позиція TP-Link: заперечення контролю з боку Китаю
У коментарі виданню BleepingComputer компанія TP-Link назвала звинувачення Техасу безпідставними та заявила про намір активно їх оскаржувати. Виробник наполягає, що ані уряд Китаю, ані Комуністична партія Китаю не контролюють TP-Link, її продукцію чи дані користувачів.
За заявою компанії, TP-Link Systems позиціонується як незалежна американська структура: засновник і CEO Джеффрі Чао проживає в Ірвайні (Каліфорнія) та ніколи не був членом КПК. Інфраструктура для обслуговування американських користувачів, за словами компанії, розміщена у США, а дані зберігаються на серверах Amazon Web Services. Остаточну оцінку технічним та юридичним аргументам сторін має надати суд.
Для користувачів та організацій ця історія — нагадування, що навіть звичні пристрої на кшталт домашніх роутерів можуть стати критичною ланкою в безпеці. Практичні кроки включають регулярне оновлення прошивки, зміну стандартних паролів на складні унікальні, відключення непотрібного віддаленого доступу, використання окремих гостьових Wi-Fi-мереж для IoT-пристроїв. Бізнесу варто впроваджувати інвентаризацію всього мережевого обладнання, централізоване керування оновленнями та моніторинг аномальної активності, аби знизити ризик того, що інфраструктура стане частиною наступного ботнета. У підсумку саме поєднання технологічних засобів захисту, прозорих ланцюжків постачання та уважної поведінки користувачів формує стійку кібербезпеку в сучасному підключеному світі.
