Den 30 juli, 2019, foto från James Glenn visar Glenn, en datasäkerhetsexpert. Glenn vann en banbrytande utbetalning i en stämningsansökan om kritiska säkerhetsbrister som han hittade i oktober 2008 i Cisco Systems Inc. videoövervakningsprogramvara som används på stora amerikanska internationella flygplatser och flera federala myndigheter med känsliga uppdrag trodde att hans upptäckt skulle vara en karriärhöjande milstolpe. (James Glenn via AP)
En datorsäkerhetsexpert som har vunnit en banbrytande utbetalning i en visselblåsarprocess om kritiska säkerhetsbrister som han hittade i oktober 2008 i Cisco Systems Inc. videoövervakningsprogram, trodde att hans upptäckt skulle bli en karriärhöjande milstolpe.
James Glenn föreställde sig då att Cisco skulle kreditera honom på sin webbplats. Programvaran var, trots allt, används på stora amerikanska internationella flygplatser och flera federala myndigheter med känsliga uppdrag
"Jag menar, detta var en ganska bra prestation, "Glenn sa torsdag i en telefonintervju.
Istället, han fick sparken av Cisco -återförsäljaren i Danmark som anställde honom, som nämnde kostnadsbesparingsbehov. Och Cisco höll bristerna i sitt Video Surveillance Manager -system tysta i fem år.
Bara onsdag, när en uppgörelse på 8,6 miljoner dollar tillkännagavs och stämningen som han väckte 2011 enligt den federala lagen om falska anspråk otätades, avslöjades Glenns prövning - tillsammans med den potentiella faran som Ciscos långa tystnad medför.
Lagen låter visselblåsare rapportera bedrägeri och tjänstefel vid federala upphandlingar - för att sälja felaktiga produkter, i huvudsak - och samla in ekonomiska belöningar när fordringar lyckas. Glenns advokater sa att hans är det första cybersäkerhetsfall som framgångsrikt har prövats under FCA.
Cybersäkerhetsexperten Chris Wysopal från Veracode sa att fallet bryter ny mark genom att tydliggöra att säkerhetsproblemen nu faller i den felaktiga produktkategorin.
"Detta möjliggör en ny typ av bug -bounty för säkerhetsforskare om leverantörer drar fötterna, fortsätta att sälja sina produkter till regeringar utan att meddela om den risk de känner till och inte åtgärda sina brister, " han sa.
Utnyttjaren Glenn, 42, upptäckt skulle ha gett en angripare full administrativ åtkomst till programvaran som hanterade videoflöden, låta dem övervakas från en enda plats, stämningen säger. Det kan också möjligen tillåta obehörig åtkomst till känsliga anslutna system.
Det innebar att en inkräktare kan ha tagit kontroll över eller kringgått fysiska säkerhetssystem som lås och brandlarm, som regelbundet är anslutna till kamerasystem.
"En obehörig användare kan effektivt stänga av en hel flygplats genom att ta kontroll över alla övervakningskameror och stänga av dem, "står det i kostymen. Flygplatser som drabbades inkluderar Los Angeles International och Chicagos Midway, det står.
"Du kan tränga igenom hela systemet. Och du kan göra det utan spår. Och ha fullständig bakdörråtkomst till systemet när du vill, "sa Michael Ronickher, en advokat som representerar Glenn med företaget Constantine Cannon LLP.
I denna 3 oktober, 2018, filfoto, Cisco -logotypen visas på en skärm på Nasdaq MarketSite på Times Square i New York. Datorsäkerhetsexperten James Glenn vann en sällsynt utbetalning i en stämningsansökan som han väckte mot Cisco Systems Inc. för nästan ett decennium sedan, efter att han rapporterat kritiska säkerhetsbrister i Cisco videoövervakningsprogramvara som används på stora amerikanska internationella flygplatser och federala myndigheter med kritiska nationella säkerhetsroller. Istället för att bli belönad för sin upptäckt 2008, Glenn förlorade jobbet, enligt stämningen som han väckte enligt den federala lagen om falska påståenden, som var otätad onsdag, 31 juli kl. 2019, med tillkännagivandet av en uppgörelse på 8,6 miljoner dollar. (AP Photo/Richard Drew, Fil)
Programvaran användes också av Department of Defense Biometrics Task Force Headquarters, USA:s hemliga tjänst, Department of Homeland Security, armén, flottan, marinkåren, National Aeronautics and Space Administration och Federal Emergency Management Agency — samt polisstationer, fängelser, skolor och av Amtrak på dess stationer, stämningen säger.
"Jag känner mig befriad, men inte i festlig mening, "sa Glenn, som får 20% av avräkningsutbetalningen, med resten till den federala regeringen, 15 stater och District of Columbia.
"Jag tror att när det gäller straffnivån för den andra parten kanske det inte är så viktigt, " han lade till.
Cisco utfärdade ett uttalande på onsdagen och sa att det var "glad att ha löst" tvisten och att "det inte fanns något påstående eller bevis för att obehörig åtkomst till kunders video inträffade" som ett resultat av produktens arkitektur. Men det tillade att videoflöden "teoretiskt sett kunde ha blivit föremål för hackning".
Ronickher, Glenns advokat, noterade att dräkten inte gäller alla internationella platser som köpte Cisco -programvaran, som han sa inkluderar flygplatsen i Auckland, Nya Zeelands största.
När Glenn upptäckte bristerna, han varnade genast Cisco, men den amerikanska teknikjätten erkände dem inte förrän 2013, när den utfärdade en säkerhetsvarning om "flera säkerhetsproblem" i programvaran.
Det meddelandet kom två år efter att federala myndigheter började utreda.
Återförsäljaren, NetDesign, sparkade Glenn i mars 2009, säger hans advokater.
Två år senare, efter att Glenns syster meddelade FBI och rättegången väcktes och hävdade att Cisco hade bedragit amerikanska federala, stat och lokala regeringar som köpte programvarusystemet.
Den 22 juli, målsäganden gjorde upp med Cisco i ett ärende som väcktes i New Yorks västra distrikt.
Glenns advokater och Cisco tillkännagav båda det avräkningsbelopp på 8,6 miljoner dollar som kärandena ska betala.
Glenn, son till en marinist ursprungligen från Virginia, bor nu i Bulgarien och har arbetat för samma företag sedan 2011, som han vägrade att namnge.
Han sa att han är gift, med ett barn.
© 2019 Associated Press. Alla rättigheter förbehållna.
