Cisco

A Cisco Systems concordou em pagar US $ 8,6 milhões para acertar uma ação judicial que acusou a empresa de vender intencionalmente um sistema de vigilância por vídeo contendo graves vulnerabilidades de segurança para as agências do governo federal e estadual dos EUA.

Acredita-se que seja o primeiro pagamento em um caso de ‘ False Claims Act ‘ por falha em atender aos padrões de segurança cibernética.

O processo começou há oito anos, no ano de 2011, quando James Whenn, sub-contratado da Cisco, acusou a Cisco de continuar vendendo uma tecnologia de vigilância por vídeo para agências federais, mesmo sabendo que o software era vulnerável a múltiplas falhas de segurança.

De acordo com os documentos judiciais, Glenn e um de seus colegas descobriram várias vulnerabilidades na Cisco Video Surveillance Manager (VSM) em setembro de 2008 e tentou denunciá-los para a empresa em outubro de 2008. 

O pacote VSM (Cisco Video Surveillance Manager) permite aos clientes gerenciar várias câmeras de vídeo em diferentes locais físicos através de um servidor centralizado, que por sua vez, pode ser acessado remotamente. 

As vulnerabilidades poderiam ter permitido que os hackers remotos tivessem acesso não autorizado ao sistema de vigilância por vídeo permanentemente, permitindo que eles tivessem acesso a todos os feeds de vídeo, todos os dados armazenados no sistema, modificassem ou excluíssem feeds de vídeo e ignorassem as medidas de segurança.

Aparentemente, a Net Design, a fornecedora da Cisco na qual Glenn estava trabalhando na época, demitiu-o logo depois que ele relatou as violações de segurança da Cisco, que a empresa descreveu oficialmente como uma medida de corte de custos.

No entanto, em 2010, quando a Glenn percebeu que a Cisco nunca corrigiu esses problemas e não notificou seus clientes, ele informou a agência federal dos EUA, que lançou um processo alegando que a Cisco fraudou os governos federais, estaduais e locais dos EUA que compraram o produto.

A Cisco, diretamente e indiretamente, vendeu seu processo de VSM para departamentos de polícia, escolas, tribunais, escritórios municipais e aeroportos, bem como para muitas agências governamentais, incluindo o Departamento de Segurança Interna dos EUA, o Serviço Secreto, a Marinha, o Exército e o Exército, o Corpo de Fuzileiros Navais e a Agência Federal de Gerenciamento de Emergências (FEMA).

“A Cisco conhece essas falhas críticas de segurança há pelo menos dois anos e meio; não notificou as entidades governamentais que compraram e continuam a usar o VSM com as vulnerabilidades”, afirma o processo.

“Assim, por exemplo, um usuário não autorizado poderia efetivamente fechar um aeroporto inteiro controlando todas as câmeras de segurança e desativando-as. Alternativamente, um hacker poderia acessar os arquivos de vídeo de uma grande entidade para obscurecer ou eliminar provas de vídeo sobre um roubo ou espionagem “.

Depois que o processo foi aberto, a empresa reconheceu as vulnerabilidades (CVE-2013-3429, CVE-2013-3430, CVE-2013-3431) e lançou uma versão atualizada de seu processo de software VSM.

Como parte do processo, a Cisco finalmente concordou em pagar US $ 8,6 milhões no acordo – dos quais Glenn e seus advogados receberão US $ 1,6 milhão e os restantes US $ 7 milhões destinados ao governo federal e aos 16 estados que compraram o produto afetado.

Em resposta ao último acordo, a Cisco emitiu um comunicado oficial dizendo que ficou “satisfeito por ter resolvido” a disputa de 2011 e que “não houve alegação ou evidência de que qualquer acesso não autorizado ao vídeo dos clientes ocorreu” como resultado de seu VSM. arquitetura do terno.

No entanto, a empresa acrescentou que os feeds de vídeo poderiam “teoricamente ter sido sujeitos a invasões”, embora a ação não tenha alegado que alguém tenha explorado as vulnerabilidades descobertas por Glenn.