思科“故意”向美国政府出售了可黑客攻击的视频监控系统

据信，这是第一次支付虚假索赔法“因未能达到网络安全标准而提起的诉讼。

这起诉讼始于8年前的2011年，当时思科的分包商詹姆斯·格伦（James Glenn）成为了告密者，他指控思科在知道该软件易受多个安全漏洞攻击后，仍继续向联邦机构出售视频监控技术。

根据《黑客新闻》看到的法庭文件，格伦和他的一名同事发现了思科的多个漏洞视频监控经理2008年9月，他试图向该公司报告此事。

思科视频监控管理器（VSM）该套件允许客户通过一个集中的服务器在不同的物理位置管理多个摄像机，而该服务器又可以远程访问。

据报道，这些漏洞可能使远程黑客永久获得对视频监控系统的未经授权访问，最终允许他们访问所有视频源、系统上存储的所有数据、修改或删除视频源，并绕过安全措施。
显然，格伦当时工作的思科承包商Net Design在报告思科违反安全规定后不久就解雇了他，该公司官方称这是一项削减成本的措施。

然而，2010年，当格伦意识到思科从未解决这些问题，也没有通知其客户时，他通知了美国联邦机构，后者随后提起诉讼，声称思科欺骗了购买该产品的美国联邦、州和地方政府。

思科直接或间接地向警察部门、学校、法院、市政办公室和机场出售其VSM软件套装，就像我们向包括美国国土安全部、特勤局、海军、陆军、空军、海军陆战队和联邦应急管理局（FEMA）在内的许多政府机构出售一样。

该诉讼称：“思科至少两年半前就知道这些严重的安全漏洞；它没有将该漏洞通知已经购买并继续使用VSM的政府实体。”。

“因此，例如，未经授权的用户可以通过控制所有安全摄像头并将其关闭，从而有效地关闭整个机场。或者，这样的黑客可以访问大型实体的视频档案，以掩盖或消除盗窃或间谍活动的视频证据。”

提起诉讼后，该公司承认存在漏洞（CVE-2013-3429、CVE-2013-3430、CVE-2013-3431），并发布了VSM软件诉讼的更新版本。

作为诉讼的一部分，思科最终同意在和解中支付860万美元—；其中，格伦和他的律师将获得160万美元，其余700万美元将捐给联邦政府和购买受影响产品的16个州。

作为对最新和解的回应，思科周三发布了一份官方声明，称其“很高兴”解决了2011年的争端，并表示“没有任何指控或证据表明，由于其VSM诉讼的架构，未经授权访问了客户的视频”。

然而，该公司补充说，视频源“理论上可能受到黑客攻击”，尽管诉讼没有声称有人利用了格伦发现的漏洞。