明知產品有漏洞還賣給美國政府　思科同意賠償 860 萬美元

網路設備大廠思科這個星期同意賠償 860 萬美元，以和解一宗明知影像監控產品有安全漏洞，還賣給美國聯邦和州政府的官司。這也是美國聯邦吹哨者法案下首宗有公司做出賠償的官司。

這宗官司主角是思科 2008 年賣出的影片管理軟體 Video Surveillance Manager(VSM)，當時有包括國土安全部、特勤局、聯邦緊急事務管理署、國防部生物辨識工作小組、國家航空暨太空總署 (NASA) 、空軍及海軍陸戰隊及加州、紐約等 15 個州政府購買了這套軟體。

這些政府單位 2011 年控告思科銷售有漏洞的 VSM 產品，不過本案直到周三才解封。 2008 年任職於思科的丹麥外包商的 John Glenn 首先發現 VSM 有數個漏洞可讓駭客即時偷看影片、關掉/開啟監視攝影機、刪除影片，或是對連上同一網路的實體安全系統動手腳。他在通報思科後一年遭到公司解聘，但也發現這批漏洞根本未修補，意謂著思科明知 VSM 有漏洞竟還繼續銷售。思科被控違反《不實請求法 False Claim Act》告上紐約地方法院，該法案也允許爆料者 Glenn 替代美國政府提出告訴，因為他任職的公司被認定犯下詐欺。

法院文件指出，「思科 VSM 存在基本瑕疵，導致在任何安裝的系統形成安全漏洞。這些漏洞過於嚴重而無法修補完全，即使思科完全揭露，產品也無法符合聯邦採購標準。由於思科刻意拒絕向政府採購人員揭露漏洞，讓大部份賣給政府的系統門戶大開，一場大規模安全浩劫發生只是時間早晚。」

2013 年思科終於修補了 VSM 的漏洞，並在 2014 年中止銷售這套產品。

本周思科指出，很高興 2011 年和思科的影像安全產品 (VSM) 架構有關的「爭議」獲得解決，沒有證據顯示客戶的影片遭任何未授權存取。

思科並未解釋該公司為何要花 4 到 6 年才修補漏洞，又為何沒有揭露漏洞卻繼續在市場上賣這套軟體。

而本案也是《不實請求法》下第一個和產品安全漏洞有關的賠償案。根據 Glenn 的代表律師，思科將賠償美國聯邦及州政府 860 萬，其中 160 萬將歸給英勇舉發的 Glenn 。

來源：Ars Technica