明知產品有漏洞還賣給美國政府 思科同意賠償 860 萬美元

2013年思科終於修補了VSM的漏洞,並在2014年中止銷售這套產品。

網路設備大廠思科這個星期同意賠償 860 萬美元,以和解一宗明知影像監控產品有安全漏洞,還賣給美國聯邦和州政府的官司。這也是美國聯邦吹哨者法案下首宗有公司做出賠償的官司。

這宗官司主角是思科 2008 年賣出的影片管理軟體 Video Surveillance Manager(VSM),當時有包括國土安全部、特勤局、聯邦緊急事務管理署、國防部生物辨識工作小組、國家航空暨太空總署 (NASA)、空軍及海軍陸戰隊及加州、紐約等 15 個州政府購買了這套軟體。

這些政府單位 2011 年控告思科銷售有漏洞的 VSM 產品,不過本案直到周三才解封。2008 年任職於思科的丹麥外包商的 John Glenn 首先發現 VSM 有數個漏洞可讓駭客即時偷看影片、關掉/開啟監視攝影機、刪除影片,或是對連上同一網路的實體安全系統動手腳。他在通報思科後一年遭到公司解聘,但也發現這批漏洞根本未修補,意謂著思科明知 VSM 有漏洞竟還繼續銷售。思科被控違反《不實請求法 False Claim Act》告上紐約地方法院,該法案也允許爆料者 Glenn 替代美國政府提出告訴,因為他任職的公司被認定犯下詐欺。

法院文件指出,「思科 VSM 存在基本瑕疵,導致在任何安裝的系統形成安全漏洞。這些漏洞過於嚴重而無法修補完全,即使思科完全揭露,產品也無法符合聯邦採購標準。由於思科刻意拒絕向政府採購人員揭露漏洞,讓大部份賣給政府的系統門戶大開,一場大規模安全浩劫發生只是時間早晚。」

2013 年思科終於修補了 VSM 的漏洞,並在 2014 年中止銷售這套產品。

本周思科指出,很高興 2011 年和思科的影像安全產品 (VSM) 架構有關的「爭議」獲得解決,沒有證據顯示客戶的影片遭任何未授權存取。

思科並未解釋該公司為何要花 4 到 6 年才修補漏洞,又為何沒有揭露漏洞卻繼續在市場上賣這套軟體。

而本案也是《不實請求法》下第一個和產品安全漏洞有關的賠償案。根據 Glenn 的代表律師,思科將賠償美國聯邦及州政府 860 萬,其中 160 萬將歸給英勇舉發的 Glenn。

來源:Ars Technica

關於我們

自 1990 年創刊 UXmaster 雜誌,1991 年獲得美國 LAN Magazine 獨家授權中文版,2006 年獲得 CMP Network Computing 授權,2009 年合併 CMP Network Magazine 獨家授權中文版,2014 年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT 人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2023 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416