Tecnologia de vigilância vulnerável rende à Cisco multa de US$ 8,6 milhões

A Cisco concordou em pagar uma multa de US$ 8,6 milhões por vender uma tecnologia de vigilância que sabia conter falhas graves de segurança e vulnerabilidades de alto risco.

Segundo o pesquisador e informante James Glenn, hackers poderiam tirar proveito das vulnerabilidades para não apenas assistir aos feeds de câmeras que empregassem o software da Cisco, como também acessar e desligar as câmeras conforme conveniência e até mesmo desabilitar, remotamente, sistemas físicos de proteção, como alarmes.

A firma de advocacia Constantine Cannon, que representou o informante, afirmou que as falhas eram bem simples de serem encontradas e exploradas. "É como se fosse um daqueles momentos em filmes de ladrões em que uma pessoa digita algo em um laptop por 30 segundos e diz em seguida: ‘Estou dentro’”, disse Michael Ronickher, um dos advogados da companhia.

Vale citar: clientes da Cisco que adquiriram a solução de vigilância incluem hospitais, creches, escolas, departamentos de polícia e até agências federais.

Do lado da Cisco, a empresa se mostrou contente em resolver a situação. "Estamos todos felizes que isso tenha sido solucionado”, disse um porta-voz da empresa em comunicado. “Não houve nenhuma alegação ou evidência de que quaisquer acesso não-autorizado aos vídeos de nossos clientes tenha ocorrido como resultado desta arquitetura”.

A Constantine Cannon, por meio de seus advogados, porém, levanta uma possível discordância: “Nós não queremos aumentar a proporção disso indevidamente. Até onde sabemos, nenhuma invasão de grande escala ocorreu em relação a isso, mas o problema existe há quatro anos”.

O caso marca a primeira vez na história em que uma empresa teve de pagar multa milionária devido a casos deflagrados por informantes. Ademais, alguns clientes da tecnologia da Cisco que podem ser nomeados nesta situação incluem o Serviço Secreto (a agência que acompanha e protege o presidente a todo momento), a Agência de Gerenciamento de Emergências Federais (FEMA, conhecida por atuar em desastres como o Furacão Katrina), além de vários braços do corpo militar dos EUA e até o Departamento de Polícia da Cidade de Nova York.

Por isso, o governo dos EUA está revisando todos os seus contratos com empresas privadas e, no meio de toda essa análise, veio a situação com a Cisco.

James Glenn, que trabalhava para uma empresa terceirizada pela Cisco na Dinamarca, chamada NetDesign, disse que alertou a companhia sobre o problema por meio de relatórios detalhados: “Qualquer indivíduo com moderado conhecimento em estrutura de rede pode se aproveitar disso”, diz um dos alertas enviados à Cisco. Quando ele não obteve resposta, decidiu abrir um processo contra a empresa na corte norte-americana.

Por meio de uma lei chamada False Claims Act, o sistema jurídico dos EUA permite que pessoas individuais abram processos contra uma corporação multinacional em nome do governo. O governo em si pode se juntar ao processo depois e coletar a maior parte dos valores de multa. Esse será o caso aqui: dos US$ 8,6 milhões da multa, 80% vão para o governo federal, enquanto os outros 20% restantes vão para Glenn e seu corpo de advogados.

Glenn foi demitido da NetDesign em 2009, mas a saída do especialista em redes não tem relação com o caso, haja vista que ele só tornou-se informante dois anos depois, quando deu entrada nos papéis do processo. “Ele tentou consertar isso pelos canais apropriados antes mesmo de considerar abrir uma ação judicial”, disse Ronickher. “Essa é geralmente a última cartada para pessoas que descobrem que certas coisas simplesmente não estão sendo consertadas”.

Fonte: Gadgets 360º