Cisco vendió un sistema de vigilancia a los Estados Unidos sabiendo que tenia vulnerabilidades graves.



Cisco Systems acordó pagar $ 8.6 millones para resolver una demanda que acusó a la compañía de vender a sabiendas un sistema de videovigilancia que contiene vulnerabilidades de seguridad severas a las agencias gubernamentales federales y estatales de los Estados Unidos.

Se cree que es el primer pago en un caso de ' Ley de Reclamaciones Falsas ' por incumplimiento de los estándares de seguridad cibernética.

La demanda comenzó hace ocho años, en el año 2011, cuando el subcontratista de Cisco se convirtió en denunciante, James Glenn, acusó a Cisco de continuar vendiendo una tecnología de videovigilancia a las agencias federales, incluso después de saber que el software era vulnerable a múltiples fallas de seguridad.

Según los documentos judiciales, Glenn y uno de sus colegas descubrieron múltiples vulnerabilidades en Cisco La suite Video Surveillance Manager (VSM) en septiembre de 2008 e intentó informarlos a la compañía en octubre de 2008.

La suite Cisco Video Surveillance Manager (VSM) permite a los clientes administrar múltiples cámaras de video en diferentes ubicaciones físicas a través de un servidor centralizado, al que se puede acceder de forma remota.

Según los informes, las vulnerabilidades podrían haber permitido que los piratas informáticos remotos obtuvieran acceso no autorizado al sistema de videovigilancia de forma permanente, lo que eventualmente les permitiría acceder a todas las fuentes de video, a todos los datos almacenados en el sistema, modificar o eliminar fuentes de video y eludir las medidas de seguridad.

Aparentemente, Net Design, el contratista de Cisco donde Glenn trabajaba en ese momento, lo despidió poco después de informar sobre las violaciones de seguridad de Cisco, que la compañía describió oficialmente como una medida de reducción de costos.
Sin embargo, en 2010, cuando Glenn se dio cuenta de que Cisco nunca solucionó esos problemas ni notificó a sus clientes, informó a la agencia federal de EE. UU., Que luego lanzó una demanda alegando que Cisco había defraudado a los gobiernos federales, estatales y locales de EE. UU. Que compraron el producto.

Cisco, directa e indirectamente, vendió su traje de software VSM a departamentos de policía, escuelas, tribunales, oficinas municipales y aeropuertos, así como a muchas agencias gubernamentales, incluido el Departamento de Seguridad Nacional de los EE. UU., El Servicio Secreto, la Armada, el Ejército, el Aire Force, el Cuerpo de Marines y la Agencia Federal para el Manejo de Emergencias (FEMA).

"Cisco ha sabido de estas fallas críticas de seguridad durante al menos dos años y medio; no ha notificado a las entidades gubernamentales que han comprado y continúan usando VSM de la vulnerabilidad", indica la demanda.
"Así, por ejemplo, un usuario no autorizado podría cerrar efectivamente un aeropuerto completo al tomar el control de todas las cámaras de seguridad y apagarlas. Alternativamente, tal hacker podría acceder a los archivos de video de una gran entidad para ocultar o eliminar evidencia de robo en video o espionaje ".

Después de que se presentó la demanda, la compañía reconoció las vulnerabilidades (CVE-2013-3429, CVE-2013-3430, CVE-2013-3431) y lanzó una versión actualizada de su demanda de software VSM.

Como parte de la demanda, Cisco finalmente acordó pagar $ 8.6 millones en el acuerdo, de los cuales Glenn y sus abogados recibirán $ 1.6 millones y el resto $ 7 millones para el gobierno federal y los 16 estados que compraron el producto afectado.

En respuesta al último acuerdo, Cisco emitió una declaración oficial el miércoles diciendo que estaba "complacido de haber resuelto" la disputa de 2011 y que "no hubo ninguna acusación o evidencia de que se produjo un acceso no autorizado al video de los clientes" como resultado de su VSM La arquitectura del traje.

Sin embargo, la compañía agregó que las transmisiones de video podrían "teóricamente haber sido objeto de piratería", aunque la demanda no ha afirmado que nadie haya explotado las vulnerabilidades descubiertas por Glenn.