Cisco ‘conscientemente’ vendeu o sistema de vigilância por vídeo para o governo dos EUA

A Cisco Systems concordou em pagar US $ 8,6 milhões para acertar uma ação judicial que acusou a empresa de vender conscientemente um sistema de vigilância por vídeo contendo graves vulnerabilidades de segurança para as agências do governo federal e estadual dos EUA.

Acredita-se que seja o primeiro pagamento em um caso de ‘False Claims Act’ por falha em atender aos padrões de segurança cibernética.

O processo começou há oito anos, no ano de 2011, quando James Whenn, sub-contratado da Cisco, acusou a Cisco de continuar vendendo uma tecnologia de vigilância por vídeo para agências federais, mesmo sabendo que o software era vulnerável a múltiplas falhas de segurança.

De acordo com os documentos judiciais vistos pelo The Hacker News, Glenn e um de seus colegas descobriram múltiplas vulnerabilidades no pacote VSM (Cisco Video Surveillance Manager) em setembro de 2008 e tentaram reportá-las à empresa em outubro de 2008.

O pacote do VSM (Cisco Video Surveillance Manager) permite que os clientes gerenciem várias câmeras de vídeo em diferentes locais físicos por meio de um servidor centralizado, que, por sua vez, pode ser acessado remotamente.

As vulnerabilidades poderiam ter permitido que os hackers remotos tivessem acesso não autorizado ao sistema de vigilância por vídeo permanentemente, permitindo que eles tivessem acesso a todos os feeds de vídeo, todos os dados armazenados no sistema, modificassem ou excluíssem feeds de vídeo e ignorassem as medidas de segurança.

Aparentemente, a Net Design, a fornecedora da Cisco na qual Glenn estava trabalhando na época, demitiu-o logo depois que ele relatou as violações de segurança da Cisco, que a empresa descreveu oficialmente como uma medida de corte de custos.

No entanto, em 2010, quando a Glenn percebeu que a Cisco nunca corrigiu esses problemas nem notificou seus clientes, ele informou a agência federal dos EUA, que lançou um processo alegando que a Cisco fraudou os governos federal, estaduais e locais dos EUA que compraram o produto.

A Cisco, direta e indiretamente, vendeu seu processo de VSM para departamentos de polícia, escolas, tribunais, escritórios municipais e aeroportos, bem como para muitas agências governamentais, incluindo o Departamento de Segurança Interna dos EUA, o Serviço Secreto, a Marinha, o Exército e o Exército. Force, o Corpo de Fuzileiros Navais e a Agência Federal de Gerenciamento de Emergências (FEMA).

‘A Cisco conhece essas falhas críticas de segurança há pelo menos dois anos e meio; não notificou as entidades governamentais que compraram e continuam a usar o VSM da vulnerabilidade’, afirma o processo.

‘Assim, por exemplo, um usuário não autorizado poderia efetivamente fechar um aeroporto inteiro controlando todas as câmeras de segurança e desativando-as. Alternativamente, um hacker poderia acessar os arquivos de vídeo de uma grande entidade para obscurecer ou eliminar provas de vídeo de roubo. Ou espionagem ‘.

Depois que o processo foi aberto, a empresa reconheceu as vulnerabilidades (CVE-2013-3429, CVE-2013-3430, CVE-2013-3431) e lançou uma versão atualizada de seu processo de software VSM.

Como parte do processo, a Cisco finalmente concordou em pagar US $ 8,6 milhões no acordo – dos quais Glenn e seus advogados receberão US $ 1,6 milhão e os restantes US $ 7 milhões destinados ao governo federal e aos 16 estados que compraram o produto afetado.

Em resposta ao último acordo, a Cisco emitiu um comunicado oficial dizendo que ficou ‘satisfeito por ter resolvido’ a disputa de 2011 e que ‘não houve alegação ou evidência de que qualquer acesso não autorizado ao vídeo dos clientes ocorreu’ como resultado de seu VSM.

No entanto, a empresa acrescentou que os feeds de vídeo poderiam ‘teoricamente ter sido sujeitos a invasões’, embora a ação não tenha alegado que alguém tenha explorado as vulnerabilidades descobertas por Glenn.

E Você, oque achou dessa da Cisco ? Deixe um comentário abaixo para sabermos sua opinião. E Não deixe de visitar: www.deltaservers.com.br/ para acompanhar todas as novidades que estamos preparando para você!

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *