Fizet a Cisco egy sérülékenység miatt

A Cisco Systems peren kívüli egyezségben 8,6 millió dolláros kártérítést fizetett, mert ismert biztonsági hibákkal értékesített videós megfigyelő rendszereket állami és kormányzati szerveknek. Az eljárás nyolc éve, 2011-ben indult, akkor a Cisco még funkcionalitásnak, és nem hibának ismerte el a perben felrótt problémákat.

A nemrég befejeződött per iratai szerint a biztonsági hibát a Cisco egyik alvállalkozójánál dolgozó szakember, James Glenn jelezte, még 2008 októberében, ám a Cisco és az alvállalkozó sem tett semmit a hiba orvoslása érdekében. A Cisco alvállalkozója, a Net Design nevű cég nem sokkal azután, hogy a szakember beszélt a biztonsági hibáról, elküldte alkalmazottját, és döntésüket költségcsökkentéssel magyarázták.

A per szerint a Cisco Video Surveillance Manager nevű szoftverrel voltak problémák: a megoldás lehetővé tette, hogy az ügyfelek több, egymástól fizikailag távol lévő videókamerákat egy központi szerver segítségével menedzseljenek, illetve távolról is elérjék őket. A sérülékenységek lehetővé tették volna, hogy a hackerek távolról átvegyék az ellenőrzést a kamerák felett, és így például hozzáférhettek volna a felvételekhez is, melyeket kedvük szerint módosíthattak volna.

A megállapodásról szóló blogbejegyzésben a Cisco jelezte, hogy a szóban forgó szoftvert a Broadware nevű vállalat 2007-es felvásárlásával szerezték meg. Ez a szoftver nyílt architektúrára épült, mely lehetővé tette az ügyfeleknek, hogy saját biztonsági megoldásaikat és alkalmazásaikat is hozzácsatolják a rendszerhez. Az alvállalkozó munkatársa 2008 októberében a szoftver eme funkcionalitását hibának kategorizálta, válaszképp 2009-ben a Cisco jó gyakorlatokkal és tanácsokkal látta el a termékkel kapcsolatban ügyfeleit – de gyakorlatilag a megoldásokat továbbra is változatlanul értékesítették.

A peres eljárás csupán 2011-ben indult, amikor az alvállalkozótól elbocsátott szakember megvizsgálta a szoftvert, és észrevette, hogy azokat továbbra is változatlanul adják el. Az amerikai törvények lehetővé teszik az úgynevezett csalás ellenes eljárás indítását, amikor az a gyanú merül fel, hogy egy szerződésben megrövidítették az állami szervezeteket – jelen esetben azt volt a csalás, hogy az állami szerveknek értékesített megoldás ismert biztonsági hibát tartalmazott.

A hálózati termékgyártó végül a bírósági ügy elindítása után, 2013-ban ismerte el hibának termékei funkcionalitását, és frissítette a megoldást. Ekkor is jelezték, hogy tudomások szerint senki sem használta ki ez a sérülékenységet. Az eljárást ezt már nem tudta megállítani, amely végül idén peren kívüli megegyezéssel zárult. Az egyezség szerint a Cisco összesen 8,6 millió dollár kártérítést fizet, ebből 1,6 millió dollár a peres eljárást elindító James Glenn-nek és ügyvédjeinek jut, a fennmaradó 7 millió dollár részleges kártérítés a terméket megvásárló állami intézményeknek.

A Cisco termékei gyakorlatilag szabványként működnek az amerikai államigazgatásban, rendőrségek, iskolák, bíróságok, önkormányzatok, repülőterek és számtalan kormányzati szerv használják azokat. Ha ez a történet egy külföldi gyártó termékével esett meg volna, akkor őt nagy valószínűséggel szándékos kémkedéssel vádolták volna, ahogy ez az orosz gyökerű Kaspersky-vel és a kínai Huawei-jel is megesett a közelmúltban.

A cikk forrása: The Hacker News

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük