明知產品有漏洞還賣給美國政府 思科同意賠償860萬美元
網路設備大廠思科這個星期同意賠償860萬美元,以和解一宗明知影像監控產品有安全漏洞,還賣給美國聯邦和州政府的官司。這也是美國聯邦吹哨者法案下首宗有公司做出賠償的官司。
這宗官司主角是思科2008年賣出的影片管理軟體Video Surveillance Manager(VSM),當時有包括國土安全部、特勤局、聯邦緊急事務管理署、國防部生物辨識工作小組、國家航空暨太空總署(NASA)、空軍及海軍陸戰隊及加州、紐約等15個州政府購買了這套軟體。
這些政府單位2011年控告思科銷售有漏洞的VSM產品,不過本案直到周三才解封。2008年任職於思科的丹麥外包商的John Glenn首先發現VSM有數個漏洞可讓駭客即時偷看影片、關掉/開啟監視攝影機、刪除影片,或是對連上同一網路的實體安全系統動手腳。他在通報思科後一年遭到公司解聘,但也發現這批漏洞根本未修補,意謂著思科明知VSM有漏洞竟還繼續銷售。思科被控違反《不實請求法False Claim Act》告上紐約地方法院,該法案也允許爆料者Glenn替代美國政府提出告訴,因為他任職的公司被認定犯下詐欺。
法院文件指出,「思科VSM存在基本瑕疵,導致在任何安裝的系統形成安全漏洞。這些漏洞過於嚴重而無法修補完全,即使思科完全揭露,產品也無法符合聯邦採購標準。由於思科刻意拒絕向政府採購人員揭露漏洞,讓大部份賣給政府的系統門戶大開,一場大規模安全浩劫發生只是時間早晚。」
2013年思科終於修補了VSM的漏洞,並在2014年中止銷售這套產品。
本周思科指出,很高興2011年和思科的影像安全產品(VSM)架構有關的「爭議」獲得解決,沒有證據顯示客戶的影片遭任何未授權存取。
思科並未解釋該公司為何要花4到6年才修補漏洞,又為何沒有揭露漏洞卻繼續在市場上賣這套軟體。
而本案也是《不實請求法》下第一個和產品安全漏洞有關的賠償案。根據Glenn的代表律師,思科將賠償美國聯邦及州政府860萬,其中160萬將歸給英勇舉發的Glenn。
來源:Ars Technica