Whistleblower bekræftet i Cisco -cybersikkerhedssag

En computersikkerhedsekspert, der har vundet en banebrydende udbetaling i en whistleblower-retssag over kritiske sikkerhedsfejl, som han fandt i oktober 2008 i Cisco Systems Inc. videoovervågningssoftware, mente, at hans opdagelse ville være en karrierefremmende milepæl.

James Glenn forestillede sig dengang, at Cisco ville kreditere ham på sit websted. Softwaren var, trods alt, bruges i store amerikanske internationale lufthavne og flere føderale agenturer med følsomme missioner

"Jeg mener, dette var en ganske anstændig bedrift, "Glenn sagde torsdag i et telefoninterview.

I stedet, han blev fyret af Cisco -forhandleren i Danmark, der ansatte ham, som angav besparelsesbehov. Og Cisco holdt fejlene i sit Video Surveillance Manager -system stille i fem år.

Kun onsdag, da der blev annonceret et forlig på 8,6 millioner dollars, og sagen, han anlagde i 2011 i henhold til den føderale lov om falske krav, blev lukket, blev Glenns prøvelser afsløret - sammen med den potentielle fare, som Ciscos lange stilhed medførte.

Loven lader whistleblowere rapportere bedrageri og forseelser i føderale kontrakter - til salg af fejlbehæftede produkter, hovedsageligt - og indsamle økonomiske belønninger, når krav lykkes. Glenns advokater sagde, at hans er den første cybersikkerhedssag, der med succes er anlagt under FCA.

Cybersikkerhedsekspert Chris Wysopal fra Veracode sagde, at sagen bryder nye veje ved at gøre det klart, at sikkerhedssårbarheder nu falder ind under den mangelfulde produktkategori.

"Dette giver mulighed for en ny type bug -dusør for sikkerhedsforskere, hvis leverandører trækker deres fødder, fortsætte med at sælge deres produkter til regeringer uden at underrette om den risiko, de kender til og ikke rette deres fejl, " han sagde.

Udnyt Glenn, 42, opdaget ville have givet en angriber fuld administrativ adgang til den software, der administrerede videofeeds, lade dem overvåges fra et enkelt sted, siger retssagen. Det kan også muligvis tillade uautoriseret adgang til følsomme tilsluttede systemer.

Det betød, at en ubuden gæst kunne have taget kontrol over eller omgået fysiske sikkerhedssystemer såsom låse og brandalarmer, som regelmæssigt er forbundet til kamerasystemer.

"En uautoriseret bruger kunne effektivt lukke en hel lufthavn ned ved at tage kontrol over alle sikkerhedskameraer og slukke dem, "siger jakkesættet. De berørte lufthavne omfattede Los Angeles International og Chicagos Midway, det siger.

"Du kunne trænge ind i hele systemet. Og du kunne gøre det uden spor. Og have fuldstændig bagdørsadgang til systemet, når du vil, "sagde Michael Ronickher, en advokat, der repræsenterer Glenn med firmaet Constantine Cannon LLP.

Softwaren blev også brugt af Department of Defense Biometrics Task Force Hovedkvarter, den amerikanske hemmelige tjeneste, Department of Homeland Security, hæren, flåden, marinekorpset, National Aeronautics and Space Administration og Federal Emergency Management Agency — samt politistationer, fængsler, skoler og ved Amtrak på dens stationer, siger retssagen.

"Jeg føler mig berettiget, men ikke i festlig forstand, sagde Glenn, hvem får 20% af afregningsudbetalingen, med resten til den føderale regering, 15 stater og District of Columbia.

"Jeg tror, ​​hvad angår straffeniveauet for den anden part, måske er det ikke så vigtigt, " han tilføjede.

Cisco udsendte onsdag en erklæring om, at det var "glad for at have løst" tvisten, og at "der ikke var nogen påstand eller bevis for, at der opstod uautoriseret adgang til kunders video" som følge af produktets arkitektur. Men det tilføjede, at videofeed "teoretisk set kunne have været udsat for hacking."

Ronickher, Glenns advokat, bemærkede, at dragten ikke adresserer alle de internationale lokationer, der købte Cisco -softwaren, som han sagde inkluderer Auckland lufthavn, New Zealands største.

Da Glenn opdagede fejlene, han advarede straks Cisco, men den amerikanske teknologigigant anerkendte dem først i 2013, da den udsendte en sikkerhedsadvarsel om "flere sikkerhedssårbarheder" i softwaren.

Denne meddelelse kom to år efter, at føderale myndigheder begyndte at undersøge.

Forhandleren, NetDesign, fyrede Glenn i marts 2009, siger hans advokater.

To år senere, efter at Glenns søster underrettede FBI, og retssagen blev indgivet med påstand om, at Cisco havde bedraget amerikansk føderal, stat og lokale regeringer, der købte softwaresystemet.

Den 22. juli, sagsøgerne aftalte med Cisco i en sag anlagt i New Yorks vestlige distrikt.

Glenns advokater og Cisco annoncerede begge det forligsbeløb på 8,6 millioner dollars, som sagsøgerne skal betale.

Glenn, søn af en marinemand oprindeligt fra Virginia, bor nu i Bulgarien og har arbejdet for den samme virksomhed siden 2011, som han nægtede at navngive.

Han sagde, at han var gift, med et barn.

© 2019 Associated Press. Alle rettigheder forbeholdes.