Photo by Prayitno (CC BY 2.0,https://flickr.com/photos/34128007@N04/5018939048)

ZDNet報導,思科從2008年到2013年間銷售有漏洞軟體給美國政府遭外包商舉發,本周同意賠償美國政府860萬美元達成和解,而舉發者也因吹哨者保護獲賠160萬美元。

思科也於周三公佈此事。本案起於思科在2008年到2013年之間,向美國多個州政府銷售名為影像監控管理員(Video Surveillance Manager,VSM)的瑕疵軟體。這個套件軟體源自思科2007年收購的Broadware,思科藉此取得監控攝影機及儲存錄製影片等技術。2008年10月,思科外包商NetDesign位於丹麥的員工James Glenn發現VMS套件有多項漏洞,可能讓駭客未授權存取影像資料、遠端關閉攝影機,甚至存取中央伺服器後向思科通報,但後者並未及時修補,也未向政府揭露漏洞,並在知情下仍持續銷售這些有漏洞的軟體產品。

Glenn隨後舉發此事,包括美國聯邦政府、哥倫比亞特區及包括加州、紐約州等16個州政府,於2011年控告思科違反美國聯邦防制不實陳述法(False Claims Act)及州法並要求賠償。此外,本案也允許Glenn對思科提出「公益代位訴訟」(qui tam action),這類訴訟旨在鼓勵內部人士檢舉告發。思科於2013年終於修補漏洞,並在2014年9月停止銷售舊版VSM軟體。

思科同意退還它在過去5年之間,向美國政府銷售VSM所得的一部份,共860萬美元給美國聯邦及州政府,其中包括爆料者Glenn獲得的近160萬美元賠償。這也是第一宗和安全漏洞有關的吹哨者保護法官司。


Advertisement

更多 iThome相關內容