(给算法爱好者加星标,修炼编程内功)
出售有重大安全漏洞的软件,思科被罚
据华盛顿邮报报道,思科被控向州政府、联邦机构、医院、机场和学校出售易受到黑客攻击的视频监控软件。
8 月 1 日,一份公开的和解协议显示,思科支付 860 万美元,就该指控达成和解。
思科视频监控软件的政府客户,包括:美国特勤局、联邦紧急事务管理署、军方,还有监狱、警察局。
2008 年被发现有漏洞,但一直未修复
2008 年,Glenn 正在为思科的丹麦分包商 NetDesign 工作。
他向思科发过一份详细报告,反馈其视频监控软件有重大安全漏洞,并提到「任何对网络安全有一定了解的人都可以利用漏洞」。但报告发出后,就石沉大海了。
在随后 4 年内,思科并没有修复安全漏洞,而是继续销售。
利用漏洞,黑客不仅可以监视录像、打开和关闭监控摄像头、删除录像,甚至可能危害到安全系统中的其他设备(警报器或锁)。
2009 年,NetDesign 把 Glenn 解雇了,但否认是报复。
虽遭诉讼,但思科否认漏洞被实际利用了
被解雇两年后,Glenn 依据美国《虚假索赔法》(False Claims Act)向纽约西区地方法院提起了诉讼。
该法案规定,如果个人发现政府承包商有欺诈行为,个人可以代表政府起诉。政府后期会加入诉讼,并获得大部分赔偿。
Glenn 的律师称,在这个案例中,联邦政府和州政府将获得 860 万美元中的 80%,而 Glenn 和他的律师将获得 20%。
思科发言人在一份声明中表示,没有证据表明该漏洞实际上被用来监视任何思科客户的摄像头。
后话
软件产品,有漏洞和 Bug,都是正常现象。但有反馈后,长期不修复,貌似就不正常了。
领取专属 10元无门槛券
私享最新 技术干货