【評估出錯】視像監視軟件有漏洞 Cisco俾860萬美元和解費
糾纏 8 年,一單關於視像監視系統漏洞嘅訴訟終於有結果,Cisco 答應付出 860 萬美元進行和解。今次訴訟嘅內容,原來係有承包商前僱員指控 Cisco 明知系統有漏洞但無處理,仲喺兩年半期間繼續賣出去,客戶當中仲有美國國家安全局、空軍海軍添,唔通真係咁大膽?
今次訴訟事件針對嘅軟件 Video Surveillance Manager(VSM),係由 Cisco 喺 2008 年所開發及推出,用戶可以通過呢套軟件嘅中央伺服器,去控制分散喺唔同地方嘅視像監視畫面。不過,Cisco 其中一個承包商 Net Design 嘅員工 James Glenn 就發現,呢款軟件存在幾個漏洞,唔單只可以俾黑客利用嚟控制視像監視系統,仲可以翻睇錄像、儲存喺系統嘅數據,甚至篡改或刪除影片,重要嘅影像證供就有可能俾黑客毀滅。Glenn 即時向 Cisco 舉報漏洞,誰不知竟換嚟公司炒魷,不過,Net Design 炒佢嘅理由就話係削減開支。
原本 Glenn 都無其他行動,但過咗兩年,當佢發現 VSM 原來繼續賣緊,但既無修補漏洞,亦無通知客戶,所以 Glenn 就尋求美國聯邦機構協助,最終將 Cisco 告上法庭,指控有誤導客戶購買軟件嘅成份,當中更包括警察部門、法院、學校,甚至乎連美國國土安全區、海軍空軍都係佢哋嘅銷售對象。 控方指出漏洞嘅嚴重性,例如黑客可以通過 VSM 漏洞將機場嘅監視鏡頭全部熄電,令機場陷入無法運作嘅狀況。
視像監視軟件追不上要求
事件拖足 8 年,最終 Cisco 答應庭外和解,賠償合共 8.6 億美元,不過當中只有 1.6 億係落到 Glenn 及代表律師嘅袋,其餘 7 億就會交俾受影響嘅用戶,包括聯邦政府等等。Cisco 其後都有發表聲明,指好高興事件得到解決,但就補充話呢隻軟件係由另一間叫 Broadware 嘅公司開發,由於對方係採用開放式設計,俾用家可以安裝合適嘅安全應用軟件,所以理論上的確係可以被入侵,即使法庭上並無證據顯示漏洞曾經被非法使用。另一方面,Cisco 亦話喺 2009 年已出咗本指引叫用戶一定要安裝額外嘅保護軟件等等,2013 年亦建議用戶升級軟件堵塞漏洞,公司嘅立場雖然一直係走咗顧客嘅期望之前,但客人及持份者對供應商通常係需求更多咁話。算唔算屬於「如何不失霸氣地反應」系列?
資料來源:https://bit.ly/2YFEgeZ、https://bit.ly/2LXir9a
相關文章:【有排驚】 Cisco 企業級路由器嚴重漏洞有待修補