【評估出錯】視像監視軟件有漏洞 Cisco俾860萬美元和解費

糾纏 8 年，一單關於視像監視系統漏洞嘅訴訟終於有結果，Cisco 答應付出 860 萬美元進行和解。今次訴訟嘅內容，原來係有承包商前僱員指控 Cisco 明知系統有漏洞但無處理，仲喺兩年半期間繼續賣出去，客戶當中仲有美國國家安全局、空軍海軍添，唔通真係咁大膽？

今次訴訟事件針對嘅軟件 Video Surveillance Manager（VSM），係由 Cisco 喺 2008 年所開發及推出，用戶可以通過呢套軟件嘅中央伺服器，去控制分散喺唔同地方嘅視像監視畫面。不過，Cisco 其中一個承包商 Net Design 嘅員工 James Glenn 就發現，呢款軟件存在幾個漏洞，唔單只可以俾黑客利用嚟控制視像監視系統，仲可以翻睇錄像、儲存喺系統嘅數據，甚至篡改或刪除影片，重要嘅影像證供就有可能俾黑客毀滅。Glenn 即時向 Cisco 舉報漏洞，誰不知竟換嚟公司炒魷，不過，Net Design 炒佢嘅理由就話係削減開支。

原本 Glenn 都無其他行動，但過咗兩年，當佢發現 VSM 原來繼續賣緊，但既無修補漏洞，亦無通知客戶，所以 Glenn 就尋求美國聯邦機構協助，最終將 Cisco 告上法庭，指控有誤導客戶購買軟件嘅成份，當中更包括警察部門、法院、學校，甚至乎連美國國土安全區、海軍空軍都係佢哋嘅銷售對象。 控方指出漏洞嘅嚴重性，例如黑客可以通過 VSM 漏洞將機場嘅監視鏡頭全部熄電，令機場陷入無法運作嘅狀況。

視像監視軟件追不上要求

事件拖足 8 年，最終 Cisco 答應庭外和解，賠償合共 8.6 億美元，不過當中只有 1.6 億係落到 Glenn 及代表律師嘅袋，其餘 7 億就會交俾受影響嘅用戶，包括聯邦政府等等。Cisco 其後都有發表聲明，指好高興事件得到解決，但就補充話呢隻軟件係由另一間叫 Broadware 嘅公司開發，由於對方係採用開放式設計，俾用家可以安裝合適嘅安全應用軟件，所以理論上的確係可以被入侵，即使法庭上並無證據顯示漏洞曾經被非法使用。另一方面，Cisco 亦話喺 2009 年已出咗本指引叫用戶一定要安裝額外嘅保護軟件等等，2013 年亦建議用戶升級軟件堵塞漏洞，公司嘅立場雖然一直係走咗顧客嘅期望之前，但客人及持份者對供應商通常係需求更多咁話。算唔算屬於「如何不失霸氣地反應」系列？

資料來源：https://bit.ly/2YFEgeZ、https://bit.ly/2LXir9a

相關文章：【有排驚】 Cisco 企業級路由器嚴重漏洞有待修補