Cisco Systems була викрита у умисному продажу вразливого ПЗ
Cisco Systems було викрито у умисному продажу вразливого ПЗ
Cisco Systems погодилася виплатити $8,6 млн у рамках врегулювання судового позову, поданого проти компанії федеральним урядом США.
У 2011 році Cisco Systems була викрита в умисному продажі урядовим організаціям США свідомо вразливих систем відеоспостереження. Згідно з судовими документами, у вересні 2008 року колишній підрядник компанії Джеймс Гленн (James Glenn) разом із колегою виявив у ПЗ Cisco Video Surveillance Manager (VSM) множинні вразливості, про які повідомив виробник у жовтні того ж року.
Система VSM дозволяє керувати відразу кількома відеокамерами, що розташовані в різних місцях через централізований сервер, доступ до якого можна отримувати віддалено. Виявлені дослідниками уразливості дозволяли віддаленому неавторизованому зловмиснику отримати постійний доступ до систем відеоспостереження і відповідно до всіх відеозаписів і даних, що зберігаються в системі, а також модифікувати відео та обходити механізми безпеки.
У 2010 році Глен зрозумів, що виявлені ними вразливості так і не були виправлені. Більше того, виробник вирішив не повідомляти нікому про їхню наявність у продукті. Дослідник попередив про це владу, яка у свою чергу подала на Cisco Systems до суду, звинувативши компанію в шахрайстві.
Виробник постачав безпосередньо або через посередників ПЗ VSM поліцейським управлінням, школам, судам, муніципальним установам, аеропортам та урядовим організаціям США, у тому числі Міністерству внутрішніх справ, Секретній службі, Військово-морським силам, Військово-повітряним силам та ін.
/p>
Після того, як було подано позов, компанія опублікувала вразливості (CVE-2013-3429, CVE-2013-3430, CVE-2013-3431) та випустила виправлену версію VSM. У рамках угоди Cisco Systems також погодилася виплатити $8,6 млн – $1,6 млн отримає Гленн та його адвокат, решта $7 млн відійдуть федеральному уряду та 16 штатам, які купили вразливий продукт.