雷鋒網(wǎng)8月1日消息，據(jù)外媒報(bào)道，思科已同意支付860萬美元來解決一起客戶提起的訴訟，這名客戶指控網(wǎng)絡(luò)巨頭思科故意銷售包含嚴(yán)重安全漏洞的視頻監(jiān)控套件。

美國律師事務(wù)所Constantine Cannon稱，他代表思科經(jīng)銷商 NetDesign 的視頻監(jiān)控專家James Glenn 提起訴訟。

Glenn稱，他在思科視頻監(jiān)控管理器（VSM）中發(fā)現(xiàn)了幾個(gè)安全漏洞。這些漏洞可能使攻擊者可以通過監(jiān)控軟件訪問數(shù)據(jù)存儲托管、控制攝像機(jī)、繞過安全措施，并在特定情況下獲得通過主機(jī)網(wǎng)絡(luò)的“管理”訪問權(quán)。

“這個(gè)視頻監(jiān)控軟件原本應(yīng)該讓我們更安全，然而這一問題的漏洞更加令人不安，”康斯坦丁·坎農(nóng)（Constantine Cannon）的律師Hamsa Mahendranathan表示，他代表舉報(bào)人James Glenn。

早在2008年，便有人發(fā)現(xiàn)了思科視頻監(jiān)控軟件中的一個(gè)漏洞，但該技術(shù)巨頭繼續(xù)將該軟件出售給美國代理商，直到2013年7月。

2010年6月，Glenn發(fā)現(xiàn)思科沒有解決暴露其客戶遭受黑客攻擊的漏洞，然后他向FBI報(bào)告了他的調(diào)查結(jié)果。

“軟件嵌入了一些代碼，這是漏洞的來源所在。攻擊者依靠漏洞可以輕松獲取管理訪問權(quán)限，并為自己構(gòu)造一個(gè)系統(tǒng)后門，軟件甚至不會記錄創(chuàng)建管理員賬戶?！?/p>

Glenn在向思科報(bào)告漏洞后五個(gè)月被解雇，該公司指出這不是一種懲罰，而是一種普通的削減成本措施。

據(jù)報(bào)道，盡管思科在2013年最終解決了軟件缺陷，但訴訟稱該公司仍可能會泄露使用該設(shè)備的聯(lián)邦和州級機(jī)構(gòu)的機(jī)密信息。

該解決方案涵蓋了2007年至2014年思科視頻監(jiān)控管理器的銷售情況。該系統(tǒng)允許客戶通過中央服務(wù)器管理和連接多臺連接互聯(lián)網(wǎng)的攝像機(jī)。

律師Claire Sylvia分析，許多聯(lián)邦和州政府機(jī)構(gòu)都依賴思科的視頻監(jiān)控系統(tǒng)來幫助監(jiān)控其設(shè)施的安全性。

“在投訴中，客戶提出了重要的安全問題。思科應(yīng)該深知軟件缺陷非常嚴(yán)重，以至于損害了視頻監(jiān)控系統(tǒng)和連接到它們的任何計(jì)算機(jī)系統(tǒng)的安全性。”Sylvia稱。

現(xiàn)在，思科已經(jīng)同意根據(jù)《虛假索賠法》提出的指控進(jìn)行賠付。

按照訴訟，思科承諾向出售給各州政府機(jī)構(gòu)的軟件支付民事賠償金，包括國土安全部、特勤局、陸軍、海軍、海軍陸戰(zhàn)隊(duì)、空軍和聯(lián)邦緊急事務(wù)管理局。其中，也包括紐約和加利福尼亞在內(nèi)的15個(gè)州以及哥倫比亞特區(qū)也向思科提出索賠。

參考來源：infosecurity

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。