故意向政府销售漏洞视频软件被曝光,思科赔付860万美元
雷锋网 (公众号:雷锋网) 8月1日消息,据外媒报道,思科已同意支付860万美元来解决一起客户提起的诉讼,这名客户指控网络巨头思科故意销售包含严重安全漏洞的视频监控套件。
美国律师事务所Constantine Cannon称,他代表思科经销商 NetDesign 的视频监控专家James Glenn 提起诉讼。
Glenn称,他在思科视频监控管理器(VSM)中发现了几个安全漏洞。这些漏洞可能使攻击者可以通过监控软件访问数据存储托管、控制摄像机、绕过安全措施,并在特定情况下获得通过主机网络的“管理”访问权。
“这个视频监控软件原本应该让我们更安全,然而这一问题的漏洞更加令人不安,”康斯坦丁·坎农(Constantine Cannon)的律师Hamsa Mahendranathan表示,他代表举报人James Glenn。
早在2008年,便有人发现了思科视频监控软件中的一个漏洞,但该技术巨头继续将该软件出售给美国代理商,直到2013年7月。
2010年6月,Glenn发现思科没有解决暴露其客户遭受黑客攻击的漏洞,然后他向FBI报告了他的调查结果。
“软件嵌入了一些代码,这是漏洞的来源所在。攻击者依靠漏洞可以轻松获取管理访问权限,并为自己构造一个系统后门,软件甚至不会记录创建管理员账户。”
Glenn在向思科报告漏洞后五个月被解雇,该公司指出这不是一种惩罚,而是一种普通的削减成本措施。
据报道,尽管思科在2013年最终解决了软件缺陷,但诉讼称该公司仍可能会泄露使用该设备的联邦和州级机构的机密信息。
该解决方案涵盖了2007年至2014年思科视频监控管理器的销售情况。该系统允许客户通过中央服务器管理和连接多台连接互联网的摄像机。
律师Claire Sylvia分析,许多联邦和州政府机构都依赖思科的视频监控系统来帮助监控其设施的安全性。
“在投诉中,客户提出了重要的安全问题。思科应该深知软件缺陷非常严重,以至于损害了视频监控系统和连接到它们的任何计算机系统的安全性。”Sylvia称。
现在,思科已经同意根据《虚假索赔法》提出的指控进行赔付。
按照诉讼,思科承诺向出售给各州政府机构的软件支付民事赔偿金,包括国土安全部、特勤局、陆军、海军、海军陆战队、空军和联邦紧急事务管理局。其中,也包括纽约和加利福尼亚在内的15个州以及哥伦比亚特区也向思科提出索赔。
参考来源: infosecurity
。