Cisco Systems đã đồng ý trả 8,6 triệu đô la để giải quyết vụ kiện cáo buộc công ty cố tình bán hệ thống giám sát video có chứa lỗ hổng bảo mật nghiêm trọng cho các cơ quan chính phủ liên bang và chính phủ Hoa Kỳ.
Nó được cho là khoản thanh toán đầu tiên trong trường hợp ‘False Claims Act ‘ về việc không đáp ứng các tiêu chuẩn an ninh mạng.
Vụ kiện bắt đầu từ tám năm trước, vào năm 2011, khi nhà thầu phụ của Cisco tố giác họ, James Glenn, cáo buộc Cisco tiếp tục bán một công nghệ giám sát video cho các cơ quan liên bang ngay cả khi biết rằng phần mềm này dễ bị tấn công bởi nhiều lỗi bảo mật.
Theo các tài liệu tòa án được xem bởi The Hacker News, Glenn và một trong những đồng nghiệp của ông đã phát hiện ra nhiều lỗ hổng trong Video Surveillance Manager (VSM) của Cisco vào tháng 9 năm 2008 và đã cố gắng báo cáo chúng cho công ty vào tháng 10 năm 2008.
Video Surveillance Manager của Cisco (VSM) cho phép khách hàng quản lý nhiều máy quay video tại các địa điểm khác nhau thông qua một máy chủ tập trung, từ đó có thể được truy cập từ xa.
Các lỗ hổng có thể đã báo cáo cho phép tin tặc từ xa truy cập trái phép vào hệ thống giám sát video vĩnh viễn, cuối cùng cho phép chúng truy cập vào tất cả các nguồn cấp dữ liệu video, tất cả dữ liệu được lưu trữ trên hệ thống, sửa đổi hoặc xóa nguồn cấp dữ liệu video và bỏ qua các biện pháp bảo mật.
Rõ ràng, Net Design, nhà thầu của Cisco nơi Glenn đang làm việc tại thời điểm đó, đã sa thải anh ta ngay sau khi anh ta báo cáo các vi phạm bảo mật của Cisco, công ty chính thức mô tả là một biện pháp cắt giảm chi phí.
Tuy nhiên, vào năm 2010, khi Glenn nhận ra rằng Cisco không bao giờ sửa các vấn đề đó mà cũng không thông báo cho khách hàng của mình, anh đã thông báo cho cơ quan liên bang Hoa Kỳ, người sau đó đã khởi kiện một tuyên bố rằng Cisco đã lừa gạt chính phủ liên bang, tiểu bang và địa phương Hoa Kỳ đã mua sản phẩm này. Cisco, trực tiếp và gián tiếp, đã bán bộ phần mềm VSM của mình cho các sở cảnh sát, trường học, tòa án, văn phòng thành phố và sân bay cũng như nhiều cơ quan chính phủ bao gồm Bộ An ninh Nội địa Hoa Kỳ, Sở Mật vụ, Hải quân, Quân đội, Không quân Lực lượng, Thủy quân lục chiến và Cơ quan quản lý khẩn cấp liên bang (Fema).
“Cisco đã biết về các lỗ hổng bảo mật quan trọng này trong ít nhất hai năm rưỡi; họ đã không thông báo cho các tổ chức chính phủ đã mua và tiếp tục sử dụng VSM về lỗ hổng bảo mật”, vụ kiện nói.
“Ví dụ, một người dùng trái phép có thể đóng cửa toàn bộ sân bay một cách hiệu quả bằng cách kiểm soát tất cả các camera an ninh và tắt chúng đi. Thay vào đó, một hacker như vậy có thể truy cập vào kho lưu trữ video của một thực thể lớn để che giấu hoặc loại bỏ bằng chứng video về hành vi trộm cắp hoặc gián điệp. “
Sau khi vụ kiện được đệ trình, công ty đã thừa nhận các lỗ hổng (CVE-2013-3429, CVE-2013-3430, CVE-2013-3431) và phát hành phiên bản cập nhật của bộ phần mềm VSM.
Là một phần của vụ kiện, Cisco cuối cùng đã đồng ý trả 8,6 triệu đô la trong vụ dàn xếp, trong đó Glenn và luật sư của ông sẽ nhận được 1,6 triệu đô la và 7 triệu đô la còn lại sẽ gửi cho chính phủ liên bang và 16 bang đã mua sản phẩm bị ảnh hưởng.
Đáp lại thỏa thuận mới nhất, Cisco đã đưa ra một tuyên bố chính thức vào thứ Tư rằng họ “vui lòng giải quyết” tranh chấp năm 2011 và rằng “không có cáo buộc hay bằng chứng nào cho thấy bất kỳ sự truy cập trái phép nào vào video của khách hàng” là kết quả của VSM phù hợp với kiến trúc.
Tuy nhiên, công ty nói thêm rằng các nguồn cấp dữ liệu video có thể “về mặt lý thuyết đã bị hack”, mặc dù vụ kiện đã không tuyên bố rằng bất kỳ ai đã khai thác các lỗ hổng được phát hiện bởi Glenn.