Cisco 'Sadar' Menjual Sistem Surveilans Video yang Dapat Diretas ke AS Pemerintah
Cisco Systems telah setuju untuk membayar $ 8,6 juta untuk menyelesaikan gugatan yang menuduh perusahaan tersebut secara sadar menjual sistem pengawasan video yang mengandung kerentanan keamanan parah kepada AS. agen pemerintah federal dan negara bagian.
Itu diyakini sebagai pembayaran pertama pada 'UU Klaim Palsu'kasus kegagalan untuk memenuhi standar keamanan siber.
Gugatan itu dimulai delapan tahun lalu, pada tahun 2011, ketika subkontraktor Cisco menjadi whistleblower, James Glenn, menuduh Cisco terus menjual teknologi pengawasan video ke agen-agen federal bahkan setelah mengetahui bahwa perangkat lunak itu rentan terhadap beberapa kelemahan keamanan.
Menurut dokumen pengadilan yang dilihat oleh The Hacker News, Glenn dan salah satu koleganya menemukan banyak kerentanan di Cisco Manajer Pengawas Video (VSM) suite pada September 2008 dan mencoba melaporkannya ke perusahaan pada Oktober 2008.
Cisco Video Surveillance Manager (VSM) suite memungkinkan pelanggan untuk mengelola beberapa kamera video di lokasi fisik yang berbeda melalui server terpusat, yang pada gilirannya, dapat diakses dari jarak jauh.
Kerentanan dapat dilaporkan memungkinkan peretas jarak jauh untuk mendapatkan akses tidak sah ke sistem pengawasan video secara permanen, pada akhirnya memungkinkan mereka untuk mendapatkan akses ke semua umpan video, semua data yang tersimpan pada sistem, memodifikasi atau menghapus umpan video, dan memotong langkah-langkah keamanan.
Rupanya, Net Design, kontraktor Cisco tempat Glenn bekerja pada waktu itu, memecatnya tak lama setelah saya melaporkan pelanggaran keamanan Cisco, yang oleh perusahaan tersebut secara resmi digambarkan sebagai langkah pemotongan biaya.
Namun, pada 2010, ketika Glenn menyadari bahwa Cisco tidak pernah memperbaiki masalah-masalah itu dan tidak memberi tahu pelanggannya, saya telah memberi tahu AS. agen federal, yang kemudian meluncurkan gugatan yang mengklaim Cisco telah menipu AS. pemerintah federal, negara bagian dan lokal yang membeli produk.
Cisco, secara langsung dan tidak langsung, menjual gugatan perangkat lunak VSM-nya ke departemen kepolisian, sekolah, pengadilan, kantor kota dan bandara seperti halnya kita dengan banyak lembaga pemerintah termasuk AS. Departemen Keamanan Dalam Negeri, Dinas Rahasia, Angkatan Laut, Angkatan Darat, Angkatan Udara, Korps Marinir dan Badan Manajemen Darurat Federal (FEMA).
"Cisco telah mengetahui kelemahan keamanan kritis ini setidaknya selama dua setengah tahun; ia telah gagal memberi tahu entitas pemerintah yang telah membeli dan terus menggunakan VSM tentang kerentanan," kata gugatan itu.
"Jadi, misalnya, pengguna yang tidak sah dapat secara efektif mematikan seluruh bandara dengan mengambil kendali semua kamera keamanan dan mematikannya. Sebagai alternatif, peretas tersebut dapat mengakses arsip video entitas besar untuk mengaburkan atau menghilangkan bukti video pencurian. atau spionase. "
Setelah gugatan diajukan, perusahaan mengakui kerentanan (CVE-2013-3429, CVE-2013-3430, CVE-2013-3431) dan merilis versi terbaru dari gugatan perangkat lunak VSM-nya.
Sebagai bagian dari gugatan tersebut, Cisco akhirnya setuju untuk membayar $ 8,6 juta dalam penyelesaian – di mana Glenn dan pengacaranya akan menerima $ 1,6 juta dan sisanya $ 7 juta diberikan kepada pemerintah federal dan 16 negara bagian yang membeli produk yang terpengaruh.
Menanggapi penyelesaian terbaru, Cisco mengeluarkan pernyataan resmi pada hari Rabu yang mengatakan "senang telah menyelesaikan" sengketa 2011 dan bahwa "tidak ada tuduhan atau bukti bahwa setiap akses tidak sah ke video pelanggan terjadi" sebagai hasil dari VSM-nya. arsitektur jas.
Namun, perusahaan itu menambahkan bahwa umpan video "secara teoritis bisa menjadi sasaran peretasan," meskipun gugatan itu tidak mengklaim bahwa ada orang yang mengeksploitasi kerentanan yang ditemukan oleh Glenn.
