Een computerbeveiligingsexpert die een baanbrekende uitbetaling heeft gewonnen in een klokkenluidersrechtszaak wegens kritieke beveiligingsfouten die hij in oktober 2008 ontdekte in videobewakingssoftware van Cisco Systems Inc., dacht dat zijn ontdekking een mijlpaal zou zijn in zijn carrière.

James Glenn stelde zich destijds voor dat Cisco hem op zijn website zou vermelden. De software bestond, ten slotte, gebruikt op grote internationale luchthavens in de VS en meerdere federale agentschappen met gevoelige missies

"Ik bedoel, dit was een behoorlijke prestatie, ' zei Glenn donderdag in een telefonisch interview.

In plaats daarvan, hij werd ontslagen door de Cisco-wederverkoper in Denemarken die hem in dienst had, waarin de noodzaak tot kostenbesparing werd genoemd. En Cisco hield de gebreken in zijn Video Surveillance Manager-systeem vijf jaar stil.

Alleen woensdag, toen een schikking van $ 8,6 miljoen werd aangekondigd en de rechtszaak die hij in 2011 had aangespannen onder de federale False Claims Act ontzegeld, werd Glenns beproeving onthuld - samen met het potentiële gevaar van Cisco's lange stilzwijgen.

De wet staat klokkenluiders toe om fraude en wangedrag bij federale contracten te melden - voor het verkopen van gebrekkige producten, in wezen - en financiële beloningen verzamelen wanneer claims slagen. Glenn's advocaten zeiden dat dit de eerste cybersecurity-zaak is die met succes is geprocedeerd onder de FCA.

Cybersecurity-expert Chris Wysopal van Veracode zei dat de zaak een nieuwe weg inslaat door duidelijk te maken dat beveiligingsproblemen nu in de categorie met gebrekkige producten vallen.

"Dit zorgt voor een nieuw type bug bounty voor beveiligingsonderzoekers als leveranciers hun voeten slepen, door te gaan met het verkopen van hun producten aan overheden zonder het risico dat ze kennen op de hoogte te stellen en om hun gebreken niet op te lossen, " hij zei.

De exploit Glenn, 42, ontdekt, zou een aanvaller volledige beheerderstoegang hebben gegeven tot de software die videofeeds beheerde, ze vanaf één locatie te laten monitoren, zegt de rechtszaak. Het kan mogelijk ook ongeoorloofde toegang tot gevoelige verbonden systemen mogelijk maken.

Dat betekende dat een indringer de controle over fysieke beveiligingssystemen, zoals sloten en brandalarmen, had kunnen overnemen of omzeilen. die regelmatig worden aangesloten op camerasystemen.

"Een niet-geautoriseerde gebruiker kan een hele luchthaven effectief afsluiten door alle beveiligingscamera's over te nemen en uit te schakelen, " zegt het pak. De getroffen luchthavens waren Los Angeles International en Chicago's Midway, het zegt.

"Je kon het hele systeem binnendringen. En dat kon je zonder enig spoor achter te laten. En je hebt volledige achterdeur toegang tot het systeem wanneer je maar wilt, " zei Michael Ronicker, een advocaat die Glenn vertegenwoordigt bij de firma Constantine Cannon LLP.

De software werd ook gebruikt door het ministerie van Defensie Biometrics Task Force Headquarters, de Amerikaanse geheime dienst, het ministerie van Binnenlandse Veiligheid, het leger, de marine, het Korps Mariniers, de National Aeronautics and Space Administration en de Federal Emergency Management Agency, evenals politiebureaus, gevangenissen, scholen en door Amtrak op zijn stations, zegt de rechtszaak.

"Ik voel me gerechtvaardigd, maar niet in de feestelijke zin, " zei Glenn, die 20% van de uitbetaling van de schikking krijgt, terwijl de rest naar de federale overheid gaat, 15 staten en het District of Columbia.

"Ik denk dat het qua strafniveau voor de andere partij misschien niet zo belangrijk is, " hij voegde toe.

Cisco heeft woensdag een verklaring uitgegeven waarin staat dat het "blij was het geschil te hebben opgelost" en dat "er geen beschuldiging of bewijs was dat er ongeautoriseerde toegang tot video van klanten heeft plaatsgevonden" als gevolg van de architectuur van het product. Maar het voegde eraan toe dat videofeeds "in theorie onderhevig zouden kunnen zijn aan hacking".

Ronicker, Glenns advocaat, merkte op dat het pak niet alle internationale locaties behandelt die de Cisco-software hebben gekocht, waarvan hij zei dat ze de luchthaven van Auckland omvatten, De grootste van Nieuw-Zeeland.

Toen Glenn de gebreken ontdekte, hij waarschuwde onmiddellijk Cisco, maar de Amerikaanse technologiegigant erkende ze pas in 2013, toen het een beveiligingswaarschuwing gaf over "meerdere beveiligingsproblemen" in de software.

Dat bericht kwam twee jaar nadat de federale autoriteiten het onderzoek begonnen.

de wederverkoper, NetDesign, ontsloeg Glenn in maart 2009, zeggen zijn advocaten.

Twee jaar later, nadat Glenn's zus de FBI op de hoogte had gebracht en de rechtszaak werd aangespannen waarin werd beweerd dat Cisco de Amerikaanse federale overheid had opgelicht, staats- en lokale overheden die het softwaresysteem hebben gekocht.

Op 22 juli, de eisers schikten met Cisco in een zaak die was aangespannen in het westelijke district van New York.

Glenn's advocaten en Cisco hebben beide het schikkingsbedrag van $ 8,6 miljoen aangekondigd dat de eisers verschuldigd zijn.

Glenn, de zoon van een marinier die oorspronkelijk uit Virginia komt, woont nu in Bulgarije en werkt sinds 2011 voor hetzelfde bedrijf die hij niet wilde noemen.

Hij zei dat hij getrouwd is, met één kind.

© 2019 The Associated Press. Alle rechten voorbehouden.