明知產品有漏洞還賣給美國政府　思科同意賠償860萬美元

網路設備大廠思科這個星期同意賠償860萬美元，以和解一宗明知影像監控產品有安全漏洞，還賣給美國聯邦和州政府的官司。這也是美國聯邦吹哨者法案下首宗有公司做出賠償的官司。

這宗官司主角是思科2008年賣出的影片管理軟體Video Surveillance Manager(VSM)，當時有包括國土安全部、特勤局、聯邦緊急事務管理署、國防部生物辨識工作小組、國家航空暨太空總署(NASA)、空軍及海軍陸戰隊及加州、紐約等15個州政府購買了這套軟體。

這些政府單位2011年控告思科銷售有漏洞的VSM產品，不過本案直到周三才解封。2008年任職於思科的丹麥外包商的John Glenn首先發現VSM有數個漏洞可讓駭客即時偷看影片、關掉/開啟監視攝影機、刪除影片，或是對連上同一網路的實體安全系統動手腳。他在通報思科後一年遭到公司解聘，但也發現這批漏洞根本未修補，意謂著思科明知VSM有漏洞竟還繼續銷售。思科被控違反《不實請求法False Claim Act》告上紐約地方法院，該法案也允許爆料者Glenn替代美國政府提出告訴，因為他任職的公司被認定犯下詐欺。

法院文件指出，「思科VSM存在基本瑕疵，導致在任何安裝的系統形成安全漏洞。這些漏洞過於嚴重而無法修補完全，即使思科完全揭露，產品也無法符合聯邦採購標準。由於思科刻意拒絕向政府採購人員揭露漏洞，讓大部份賣給政府的系統門戶大開，一場大規模安全浩劫發生只是時間早晚。」

2013年思科終於修補了VSM的漏洞，並在2014年中止銷售這套產品。

本周思科指出，很高興2011年和思科的影像安全產品(VSM)架構有關的「爭議」獲得解決，沒有證據顯示客戶的影片遭任何未授權存取。

思科並未解釋該公司為何要花4到6年才修補漏洞，又為何沒有揭露漏洞卻繼續在市場上賣這套軟體。

而本案也是《不實請求法》下第一個和產品安全漏洞有關的賠償案。根據Glenn的代表律師，思科將賠償美國聯邦及州政府860萬，其中160萬將歸給英勇舉發的Glenn。

來源：Ars Technica