Ismert sérülékenység ellenére árulta termékét a Cisco

 

A Cisco Systems 8,6 millió dolláros büntetést kapott, amiért annak ellenére tovább értékesítette kamerarendszerét amerikai szövetségi ügynökségeknek, hogy tisztában volt vele, a terméket több kritikus sérülékenység is érinti. Ez az első eset, hogy a „False Claims Act” alapján, kiberbiztonsági elvárásoknak történő nem megfelelés miatt szabnak ki büntetést. Az eset 2011-ben indult, amikor a Cisco egy volt alvállalkozója, James Glenn értesítette a szövetségi szerveket arról, hogy a Cisco Video Surveillance Manager (VSM) termékben évekkel korábban több sérülékenységet azonosított, amelyek azóta sem kerültek javításra. Glenn először 2008 októberében próbálta jelezni a problémát a vállalatnak, azonban akkori munkaadója, a Net Design röviddel ezt követően létszámleépítésre hivatkozva megvált tőle. A felfedezett biztonsági hibák lehetőséget adhatnak arra, hogy egy támadó teljesen átvegye az irányítást a kamerarendszer felett, ezzel hozzáférve az archív felvételekhez is, amelyeken bármilyen módosítást végrehajthat. Ezzel akár egy reptér napi ügymenetét is megbéníthatja, vagy az archív felvételek törlésével rendőrségi bizonyítékokat semmisíthet meg. A VSM az Egyesült Államokban többek között rendőrségeken, iskolákban, bíróságokon, reptereken is használatban van, emellett olyan kormányzati szerveknél is, mint a Belbiztonsági Minisztérium, vagy épp a haditengerészet és a hadsereg. A kereset beadása után a Cisco elismerte a sebezhetőségek meglétét és biztonsági frissítéseket adott ki (CVE-2013-3429, CVE-2013-3430, CVE-2013-3431) azok befoltozásához.

(thehackernews.com)