上周小编给大家分享了分享了有关API安全的重要性的原因,本周分享的是API安全性相关风险的两个实际案例。
第一个案例:思科“故意”向美国政府出售可侵入的视频监控
美国思科公司(Cisco Systems)为了解决一起指控其故意向美国联邦和州政府机构出售含有严重安全漏洞的视频监控系统的诉讼,同意支付860万美元。根据相关消息,本案件是第一笔因未能达到网络安全标准而赔偿的“虚假索赔法(False Claims Act)”案件。这起诉讼始于八年前,也就是2011年,当时思科的承包商Net Design的一名员工,James Glenn指控思科,明知该软件存在多个安全漏洞,仍将该视频监控技术出售给联邦机构。
根据《Hacker News》的法庭文件,2008年9月,Glenn和他的一个同事发现了思科视频监控管理器(Cisco Video Surveillance Manager,VSM)套件存在多个安全漏洞。2018年10月,他们试图向该公司汇报这些漏洞。
思科视频监控管理器(Cisco Video Surveillance Manager,VSM)套件允许客户通过一个集中的服务器来管理不同物理位置的多个摄像机,而允许远程访问该服务器。据报道,黑客们能够通过这些漏洞,永久的未经授权的访问这些视频监控系统,还能够绕过相关的安全措施,访问所有的视频源、系统上存储的所有数据,修改或删除这些视频源。