被舉發賣有漏洞軟體給美政府，思科同意賠償860萬美元，吹哨者也拿到160萬

ZDNet報導，思科從2008年到2013年間銷售有漏洞軟體給美國政府遭外包商舉發，本周同意賠償美國政府860萬美元達成和解，而舉發者也因吹哨者保護獲賠160萬美元。

思科也於周三公佈此事。本案起於思科在2008年到2013年之間，向美國多個州政府銷售名為影像監控管理員（Video Surveillance Manager，VSM）的瑕疵軟體。這個套件軟體源自思科2007年收購的Broadware，思科藉此取得監控攝影機及儲存錄製影片等技術。2008年10月，思科外包商NetDesign位於丹麥的員工James Glenn發現VMS套件有多項漏洞，可能讓駭客未授權存取影像資料、遠端關閉攝影機，甚至存取中央伺服器後向思科通報，但後者並未及時修補，也未向政府揭露漏洞，並在知情下仍持續銷售這些有漏洞的軟體產品。

Glenn隨後舉發此事，包括美國聯邦政府、哥倫比亞特區及包括加州、紐約州等16個州政府，於2011年控告思科違反美國聯邦防制不實陳述法（False Claims Act）及州法並要求賠償。此外，本案也允許Glenn對思科提出「公益代位訴訟」（qui tam action），這類訴訟旨在鼓勵內部人士檢舉告發。思科於2013年終於修補漏洞，並在2014年9月停止銷售舊版VSM軟體。

思科同意退還它在過去5年之間，向美國政府銷售VSM所得的一部份，共860萬美元給美國聯邦及州政府，其中包括爆料者Glenn獲得的近160萬美元賠償。這也是第一宗和安全漏洞有關的吹哨者保護法官司。