据外媒报导,思科(Cisco)同意支付 860 万美元解决一起客户提起的诉讼,这名客户指控网络巨头思科故意销售有严重安全漏洞的影片监控套件。
美国律师事务所 Constantine Cannon 称,代表思科经销商 NetDesign 的影片监控专家 James Glenn 提起诉讼。
Glenn 表示,他在思科影片监控管理器(VSM)里发现几个安全漏洞。这些漏洞可能使攻击者透过监控软件存取数据储存托管、控制摄影机、绕过安全措施,并在特定情况下获得透过主机网络的“管理”连线权。
“这影片监控软件原本应该让我们更安全,然而这问题的漏洞更令人不安,”Constantine Cannon 的律师 Hamsa Mahendranathan 表示,他代表举报人 James Glenn。
早在 2008 年,便有人发现思科影片监控软件的漏洞,但思科继续出售软件给美国代理商,直到 2013 年 7 月。
2010 年 6 月,Glenn 发现思科没有解决暴露客户或遭骇客攻击的漏洞,然后他向 FBI 报告了调查结果。
“软件嵌入一些程式码,这是漏洞的来源所在。攻击者依据漏洞可轻松取得管理存取权限,并为自己建造系统后门,软件甚至不会记录创建管理员账号。”
Glenn 向思科报告漏洞后 5 个月被解雇,NetDesign 指这不是惩罚,而是普通的削减成本措施。
据报导,尽管思科 2013 年解决了软件缺陷,但诉讼称仍可能会泄露使用该设备的联邦和州级机构机密信息。
此解决方案涵盖 2007~2014 年思科影片监控管理器的销售情况。系统允许客户透过中央服务器管理和连接多台连接网络的监视器。
律师 Claire Sylvia 分析,许多联邦和州-机构都依赖思科的影片监控系统来帮助监控设施的安全。
“投诉中客户提出重要的安全问题。思科应该深知软件缺陷非常严重,以至于损害影片监控系统和连接到它们的任何电脑系统安全性。”Sylvia 称。
现在,思科已同意根据《不实陈述法》(False Claims Act)提出的指控赔偿。
按照诉讼,思科承诺向出售给各州-机构的软件支付民事赔偿金,包括国土安全部、特勤局、陆军、海军、海军陆战队、空军和联邦紧急事务管理局,也包括纽约和加州等 15 州,以及哥伦比亚特区也向思科提出索赔。
- Cisco Pays $8.6m to Settle Software Flaw Claims
(本文由 雷锋网 授权转载;首图来源:Flickr/Prayitno / Thank you for (12 millions +) view CC BY 2.0)
