Cisco заплатит 8,6 млн долл. за урегулирование иска о продаже небезопасного ПО правительству США

Как собщает Reuters, компания Cisco Systems, обвиняемая в том, что скрывала наличие проблем безопасности в технологии видеонаблюдения, подаваемой правительственным организациям, согласилась выплатить 8,6 млн долл. для внесудебного урегулирования этого дела.

 

Эти деньги пойдут на возмещение гражданского ущерба, понесённого в связи с программным обеспечением, поставлявшимся компанией таким учреждениям, как  Министерство национальной безопасности, Секретная Служба, Федеральное агентство по чрезвычайным ситуациям, а также в армию, флот, ВВС и морскую пехоту США. Обвинению ничего неизвестно о случаях злонамеренного использования рекомого дефекта безопасности, в противном случае сумма возмещения была бы существенно больше.

 

К иску в адрес Cisco, выдвинутому Министерством юстиции в соответствии с Законом о фальсификации правопритязаний (False Claims Act), присоединились 15 штатов, включая Нью-Йорк, Калифорнию и округ Колумбия.

 

Правительство утверждает, что ПО для видеонаблюдения, которое оно приобрело у Cisco, оказалось бесполезным, потому что «не отвечает своей основной цели: повышению безопасности агентств, которые его покупают». Во многих случаях применение указанного продукта Cisco даже ухудшало защиту, предоставляемую другими системами безопасности.

 

Впервые уязвимость в этом ПО нашёл в 2008 г. Джеймс Гленн (James Glenn). Работая субподрядчиком Cisco в Дании, он смог взломать систему и получить над ней полный административный контроль, оставаясь необнаруженным. В сентябре того же года он уведомил о своей находке Cisco.

 

Спустя пять месяцев Гленн попал под «плановое сокращение штатов». Спустя ещё год, в июне 2010 г., он обнаружил, что Cisco не предприняла никаких шагов для устранения проблемы, и он всё ещё может взломать систему наблюдения. Вскоре после этого Гленн обратился в ФБР, чтобы обсудить сложившуюся ситуацию.

 

Cisco продолжала продавать уязвимое ПО до июля 2013 г., когда впервые предала эту проблему гласности и выпустила соответствующие программные патчи. 

 

Эта внезапная активность очевидно была вызвана усилившимся в 2013 г. вниманием правительства к безопасности технологий Cisco и других производителей систем видеонаблюдения. Тогда же, на конференции Black Hat, Крейг Хэффнер (Craig Heffner) продемонстрировал взлом самых распространённых таких систем, а в сентябре Федеральная торговая комиссия США открыла судебное дело против IoT-фирмы TRENDnet: недоработки безопасности позволяли хакеру публиковать онлайн прямые трансляции с 700 камер наблюдения этой компании.

 

В 2015 г. Cisco избавилась от части своих видеоактивов, продав их компании Technicolor.