Cisco Settlement Melihat Pelapor Diverifikasi
Seorang pakar keamanan komputer yang telah memenangkan pembayaran besar-besaran dalam gugatan whistleblower atas kelemahan keamanan kritis yang ia temukan pada Oktober 2008 dalam perangkat lunak pengawasan video Cisco Systems mengira penemuannya akan menjadi tonggak peningkatan karier.
James Glenn membayangkan pada saat itu bahwa Cisco akan memberinya kredit di situs webnya. Perangkat lunak itu, bagaimanapun, digunakan di bandara internasional utama AS dan beberapa agen federal dengan misi sensitif
"Maksudku, ini adalah pencapaian yang lumayan," kata Glenn, Kamis dalam sebuah wawancara telepon.
Sebaliknya, ia dipecat oleh reseller Cisco di Denmark yang mempekerjakannya, yang mengutip kebutuhan pemotongan biaya. Dan Cisco menjaga kelemahan dalam sistem Video Surveillance Manager-nya tetap tenang selama lima tahun.
Hanya hari Rabu, ketika penyelesaian $ 8,6 juta diumumkan dan gugatan yang ia ajukan pada 2011 di bawah federal False Claims Act dibuka, cobaan berat Glenn terungkap – bersamaan dengan potensi bahaya yang ditimbulkan oleh kebisuan panjang Cisco.
Undang-undang memungkinkan pelapor melaporkan penipuan dan kesalahan dalam kontrak federal – untuk menjual produk yang cacat, pada dasarnya – dan mengumpulkan imbalan keuangan ketika klaim berhasil. Pengacara Glenn mengatakan itu adalah kasus keamanan cyber pertama yang berhasil diadili di bawah FCA.
Pakar keamanan dunia maya, Chris Wysopal dari Veracode mengatakan, kasus ini membuka jalan baru dengan menjelaskan bahwa kerentanan keamanan kini masuk dalam kategori produk yang cacat.
"Ini memungkinkan untuk jenis baru bug bounty bagi peneliti keamanan jika vendor menyeret mereka, terus menjual produk mereka kepada pemerintah tanpa memberitahukan risiko yang mereka ketahui dan tidak memperbaiki kekurangan mereka," katanya.
Eksploitasi Glenn, 42, ditemukan akan memberikan penyerang akses administratif penuh ke perangkat lunak yang mengelola umpan video, membiarkannya dipantau dari satu lokasi, kata gugatan itu. Ini juga dapat berpotensi memungkinkan akses tidak sah ke sistem terhubung yang sensitif.
Itu berarti seorang penyusup mungkin telah mengambil kendali atau mem-bypass sistem keamanan fisik seperti kunci dan alarm kebakaran, yang secara teratur terhubung ke sistem kamera.
"Seorang pengguna yang tidak sah dapat secara efektif mematikan seluruh bandara dengan mengambil kendali dari semua kamera keamanan dan mematikannya," kata gugatan itu. Bandara yang terkena dampak termasuk Los Angeles International dan Chicago Midway, katanya.
"Anda dapat menembus seluruh sistem. Dan Anda bisa melakukannya tanpa jejak. Dan memiliki akses pintu belakang yang lengkap ke sistem kapan pun Anda inginkan," kata Michael Ronickher, seorang pengacara yang mewakili Glenn dengan perusahaan Constantine Cannon.
Perangkat lunak ini juga digunakan oleh Markas Besar Gugus Tugas Departemen Biometrik Pertahanan, Dinas Rahasia AS, Departemen Keamanan Dalam Negeri, Angkatan Darat, Angkatan Laut, Korps Marinir, Badan Penerbangan dan Antariksa Nasional dan Badan Manajemen Darurat Federal – sebagai serta kantor polisi, penjara, sekolah dan oleh Amtrak di kantornya, kata gugatan itu.
"Saya merasa dibenarkan, tetapi tidak dalam arti perayaan," kata Glenn, yang mendapat 20 persen dari pembayaran penyelesaian, dengan sisanya diserahkan kepada pemerintah federal, 15 negara bagian dan Distrik Columbia.
"Saya pikir dalam hal tingkat hukuman untuk pihak lain mungkin itu tidak signifikan," tambahnya.
Cisco mengeluarkan pernyataan pada hari Rabu yang mengatakan "senang telah menyelesaikan" perselisihan dan bahwa "tidak ada tuduhan atau bukti bahwa ada akses tidak sah ke video pelanggan terjadi" sebagai akibat dari arsitektur produk. Tetapi itu menambahkan bahwa umpan video "secara teoritis bisa menjadi sasaran peretasan."
Ronickher, pengacara Glenn, mencatat bahwa gugatan itu tidak membahas semua lokasi internasional yang membeli perangkat lunak Cisco, yang katanya termasuk bandara Auckland, terbesar di Selandia Baru.
Ketika Glenn menemukan kelemahannya, ia segera memberi tahu Cisco, tetapi raksasa teknologi A.S. tidak mengakui mereka sampai 2013, ketika mengeluarkan peringatan keamanan tentang "kerentanan keamanan berganda" dalam perangkat lunak.
Pemberitahuan itu datang dua tahun setelah otoritas federal mulai menyelidiki.
Pengecer, NetDesign, memecat Glenn pada Maret 2009, kata pengacaranya.
Dua tahun kemudian, setelah saudara perempuan Glenn memberi tahu FBI dan gugatannya diajukan, mengklaim bahwa Cisco telah menipu pemerintah federal, negara bagian, dan lokal AS yang membeli sistem perangkat lunak.
Pada 22 Juli, penggugat menyelesaikan kasus dengan Cisco dalam kasus yang dibawa ke Distrik Barat New York.
Pengacara Glenn dan Cisco sama-sama mengumumkan jumlah penyelesaian $ 8,6 juta yang harus dibayar oleh penggugat.
Glenn, putra seorang marinir yang berasal dari Virginia, sekarang tinggal di Bulgaria dan telah bekerja di perusahaan yang sama sejak 2011, yang ia tolak namanya.
Dia bilang dia sudah menikah, dengan satu anak.
