故意向政府銷售漏洞視頻軟件被曝光，思科賠付860萬美元

雷鋒網8月1日消息，據外媒報道，思科已同意支付860萬美元來解決一起客戶提起的訴訟，這名客戶指控網絡巨頭思科故意銷售包含嚴重安全漏洞的視頻監控套件。

美國律師事務所Constantine Cannon稱，他代表思科經銷商 NetDesign 的視頻監控專家James Glenn 提起訴訟。

Glenn稱，他在思科視頻監控管理器（VSM）中發現了幾個安全漏洞。這些漏洞可能使攻擊者可以通過監控軟件訪問數據存儲托管、控制攝像機、繞過安全措施，并在特定情況下獲得通過主機網絡的“管理”訪問權。

“這個視頻監控軟件原本應該讓我們更安全，然而這一問題的漏洞更加令人不安，”康斯坦丁·坎農（Constantine Cannon）的律師Hamsa Mahendranathan表示，他代表舉報人James Glenn。

早在2008年，便有人發現了思科視頻監控軟件中的一個漏洞，但該技術巨頭繼續將該軟件出售給美國代理商，直到2013年7月。

2010年6月，Glenn發現思科沒有解決暴露其客戶遭受黑客攻擊的漏洞，然后他向FBI報告了他的調查結果。

“軟件嵌入了一些代碼，這是漏洞的來源所在。攻擊者依靠漏洞可以輕松獲取管理訪問權限，并為自己構造一個系統后門，軟件甚至不會記錄創建管理員賬戶?！?/p>

Glenn在向思科報告漏洞后五個月被解雇，該公司指出這不是一種懲罰，而是一種普通的削減成本措施。

據報道，盡管思科在2013年最終解決了軟件缺陷，但訴訟稱該公司仍可能會泄露使用該設備的聯邦和州級機構的機密信息。

該解決方案涵蓋了2007年至2014年思科視頻監控管理器的銷售情況。該系統允許客戶通過中央服務器管理和連接多臺連接互聯網的攝像機。

律師Claire Sylvia分析，許多聯邦和州政府機構都依賴思科的視頻監控系統來幫助監控其設施的安全性。

“在投訴中，客戶提出了重要的安全問題。思科應該深知軟件缺陷非常嚴重，以至于損害了視頻監控系統和連接到它們的任何計算機系統的安全性?！盨ylvia稱。

現在，思科已經同意根據《虛假索賠法》提出的指控進行賠付。

按照訴訟，思科承諾向出售給各州政府機構的軟件支付民事賠償金，包括國土安全部、特勤局、陸軍、海軍、海軍陸戰隊、空軍和聯邦緊急事務管理局。其中，也包括紐約和加利福尼亞在內的15個州以及哥倫比亞特區也向思科提出索賠。

參考來源：infosecurity

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。