Um especialista em segurança de computador que ganhou um prêmio pioneiro em um processo de denúncia sobre falhas críticas de segurança que ele encontrou em outubro de 2008 no software de vigilância por vídeo da Cisco Systems Inc. pensou que sua descoberta seria um marco para impulsionar sua carreira.

James Glenn imaginou na época que a Cisco iria creditar a ele em seu site. O software era, Afinal, usado nos principais aeroportos internacionais dos EUA e várias agências federais com missões sensíveis

"Quero dizer, esta foi uma conquista bastante decente, "Glenn disse quinta-feira em uma entrevista por telefone.

Em vez de, ele foi demitido pelo revendedor Cisco na Dinamarca que o empregou, que citou necessidades de corte de custos. E a Cisco manteve as falhas em seu sistema Video Surveillance Manager silenciosas por cinco anos.

Apenas quarta-feira, quando um acordo de US $ 8,6 milhões foi anunciado e a ação que ele moveu em 2011 sob a falsa lei federal de reivindicações não selada, foi a provação de Glenn revelada - junto com o perigo potencial representado pelo longo silêncio de Cisco.

A lei permite que denunciantes denunciem fraude e má conduta em contratos federais - para a venda de produtos defeituosos, essencialmente - e coletar recompensas financeiras quando as reivindicações forem bem-sucedidas. Os advogados de Glenn disseram que este é o primeiro caso de segurança cibernética litigado com sucesso sob a FCA.

O especialista em segurança cibernética Chris Wysopal, da Veracode, disse que o caso inova ao deixar claro que as vulnerabilidades de segurança agora se enquadram na categoria de produto com falhas.

"Isso permite um novo tipo de recompensa por bug para pesquisadores de segurança se os fornecedores se atrasarem, continuar vendendo seus produtos para governos sem notificar sobre o risco que eles conhecem e sem consertar suas falhas, " ele disse.

A façanha de Glenn, 42, descoberto daria a um invasor acesso administrativo total ao software que gerenciava os feeds de vídeo, permitindo que eles sejam monitorados de um único local, o processo diz. Também pode permitir o acesso não autorizado a sistemas conectados sensíveis.

Isso significa que um intruso pode ter assumido o controle ou contornado os sistemas de segurança física, como travas e alarmes de incêndio, que são regularmente conectados a sistemas de câmeras.

"Um usuário não autorizado poderia efetivamente desligar um aeroporto inteiro assumindo o controle de todas as câmeras de segurança e desligando-as, "diz o processo. Os aeroportos afetados incluem Los Angeles International e Chicago's Midway, diz.

"Você poderia penetrar em todo o sistema. E você poderia fazer isso sem deixar rastros. E ter acesso total pelos fundos ao sistema sempre que quisesse, "disse Michael Ronickher, um advogado que representa Glenn com a empresa Constantine Cannon LLP.

O software também foi usado pela Sede da Força-Tarefa de Biometria do Departamento de Defesa, o Serviço Secreto dos EUA, o Departamento de Segurança Interna, o Exército, a Marinha, o Corpo de Fuzileiros Navais, a Administração Nacional de Aeronáutica e Espaço e a Agência Federal de Gerenciamento de Emergências - bem como delegacias de polícia, prisões, escolas e pela Amtrak em suas estações, o processo diz.

"Eu me sinto justificado, mas não no sentido de celebração, "disse Glenn, quem recebe 20% do pagamento de liquidação, com o resto indo para o governo federal, 15 estados e o Distrito de Columbia.

"Acho que em termos do nível de punição para a outra parte talvez não seja tão significativo, " ele adicionou.

A Cisco emitiu um comunicado na quarta-feira dizendo que estava "satisfeita por ter resolvido" a disputa e que "não havia nenhuma alegação ou evidência de que qualquer acesso não autorizado ao vídeo dos clientes ocorreu" como resultado da arquitetura do produto. Mas acrescentou que os feeds de vídeo poderiam "teoricamente estar sujeitos a hackers".

Ronickher, Advogado de Glenn, observou que o processo não abrange todos os locais internacionais que compraram o software Cisco, que ele disse incluir o aeroporto de Auckland, O maior da Nova Zelândia.

Quando Glenn descobriu as falhas, ele imediatamente alertou Cisco, mas o gigante da tecnologia dos EUA não os reconheceu até 2013, quando emitiu um alerta de segurança sobre "vulnerabilidades de segurança múltiplas" no software.

Esse aviso veio dois anos depois que as autoridades federais começaram a investigar.

O revendedor, NetDesign, despediu Glenn em março de 2009, seus advogados dizem.

Dois anos depois, depois que a irmã de Glenn notificou o FBI e o processo foi aberto alegando que a Cisco havia fraudado o governo federal dos EUA, governos estaduais e locais que compraram o sistema de software.

Em 22 de julho, os querelantes fizeram um acordo com a Cisco em um caso aberto no distrito oeste de Nova York.

Os advogados de Glenn e a Cisco anunciaram o valor do acordo de $ 8,6 milhões que os demandantes são devidos.

Glenn, o filho de um fuzileiro naval originário da Virgínia, agora mora na Bulgária e trabalha para a mesma empresa desde 2011, que ele se recusou a nomear.

Ele disse que é casado, com um filho.

© 2019 Associated Press. Todos os direitos reservados.