大疆欲用3万美元重奖白帽子,事情却没按预想的那样发展…
这2天,大疆又因为一个白帽子站上了风口浪尖。白帽子Kevin Finisterre通过Twitter讲述了他参与大疆漏洞奖励计划的糟糕经历,而大疆则指责Kevin未经授权入侵大疆服务器数据并对大疆进行信息安全威胁,这件事情究竟是怎么样的呢? 事情还得从8月份说起。8月28日,大疆大疆宣布推出“大疆威胁识别奖励计划”,最低奖励为100美元(约合人民币658元),最高3万美元(约合人民币197457元),金额根据威胁潜在的影响而定。 于是,全世界的黑客和白帽子们都跃跃欲试,希望能从中捞一笔,毕竟大疆的无人机确实存在漏洞,去年315晚会上,大疆无人机被黑客劫持作为案例出现在信息安全板块中。视频中展示了无人机在黑客的操纵下,脱离了机主的控制任由黑客摆布。 到了10月底,有国外媒体报道,有相关人士发现了大疆漏洞,而作为Bug Bounty计划的一部分,DJI已经同意向多个安全研究人员支付总额超过3万美元的奖金。尽管那时还没有支付任何款项,但从数名研究人员口中证实,他们当前上报的大疆软件漏洞错误报告是准确的。而他们现在已经将个人银行信息交给了DJI,只待奖金到账。而其中这个奖金至少包括一个3万美元的“最高奖励”。 最近,这件事却出现了反转,事情就要从文章最开始所说的Kevin所发的Twitter长文说起。文章很长,感兴趣的朋友可以直接登录一下网址查看:http://www.digitalmunition.com/WhyIWalkedFrom3k.pdf,我们在这里就只是简单总结一下文章说明的事情概要: Kevin看到大疆的漏洞奖励计划后,通过邮件跟大疆联系,并得到大疆确认他提出的漏洞在项目范围内,于是Kevin整理了一份漏洞报告,报告中指出,他在Github 上面有大疆的 aws 私钥,并且通过这些私钥登陆了大疆 aws 服务器,验证私钥有用,并在上面发现了大量个人信息。大疆给Kevin回复邮件称这是重大发现,并给他提供3万美元的奖励。Kevin兴致勃勃地准备领奖,并给自己定了一辆特斯拉Model 3。大疆却告诉他,要领奖的话,必须签署保密协议,在双方沟通期间,大疆法务还发了一封邮件给Kevin,威胁他如果不从的话,要用《计算机欺诈和滥用法》起诉他。这时候,Kevin就感觉非常不爽,决定放弃领奖,并公开自己的经历。
漏洞奖励平台Bugcrowd产品副总裁Jonathan Cran对此表示,大疆应当尽快解决问题,而不是威胁采取法律行动。 当然,大疆很快做出了回应,并说出了一个跟Kevin不一样的事实版本: 今日,有媒体翻译转载国外媒体对大疆安全响应中心与一名“安全研究人员”纠纷的新闻报道。对此,大疆已于16日发布声明。在这里也希望就背景信息作出更多澄清。 该黑客就职于Department13公司。该公司旗下的产品与大疆的新型AeroScope系统构成直接竞争关系。在大疆发布了AeroScope系统后,Department13的股价大幅下跌20%,跌至21个月以来的低点。 大疆在生命中大疆高度重视客户数据的隐私保护,并不断采取措施提高数据的安全性。除非客户自主选择与大疆服务器同步飞行记录,或将照片或视频上传至天空之城,或将产品实物送至大疆进行维修,否则大疆绝不会访问无人机飞行期间生成的飞行记录,照片或视频等数据。 大疆创新正在调查一起未经授权入侵大疆服务器数据的信息安全事件,其中可能涉及大疆用户所提交的个人信息。为了保障用户数据安全,大疆已经聘请了一家独立的网络安全公司来进行调查,确定这一入侵事件的整体风险及带来的影响。 今天,一位获取了这些数据的黑客在网上公布了他与大疆员工的保密通信,称其试图获得大疆安全响应中心的“漏洞报告奖励”而被驳回。 事实上,该黑客通过大疆未公开的密钥以不当方式获得数据,这并不符合大疆安全响应中心的初衷与规则。 这位黑客在发现密钥后,并没有像其他白帽子一样仅仅提交漏洞报告,而是利用该密钥下载了部分数据。在大疆创新与其沟通后,他拒绝签订旨在保护用户隐私的保密协议,并就大疆拒绝其要求而对大疆进行信息安全威胁。 大疆创新建立安全应急响应中心以鼓励独立安全研究人员提交潜在的安全漏洞,其要求研究人员遵循的标准条款旨在倡导负责任的漏洞披露,保证在发掘过程中能够充分保护用户隐私,避免造成数据泄露损害用户利益。 大疆始终重视用户数据安全,并诚挚感谢研究人员负责任地发掘及披露可能影响大疆用户数据和大疆产品安全的技术问题,持续改进产品。自安全响应中心建立以来,大疆已向十几名同意标准条款并提交漏洞报告的安全研究人员支付了数千美元奖金。而这一项目还将继续进行,随着更多新漏洞报告的提交,大疆也将为更多安全研究人员支付奖金。 从目前各方信息来看,双方各执一词,真相究竟如何,或许还要看双方手中还有没有其他证据,但是,网络上却已经沸腾了,
网友热议:
“数据库里存这些私人信息犯法么?” “又想把白帽子关进去,这下呵呵了” “钓鱼起诉,谁来领奖就地摁倒” “我怎么觉得两边吃相都很难看呢?大疆是典型国内办事风气:能遮就遮 能掩则掩。那位小哥则是当个X子顺带还想立个牌坊?” “我想到世纪佳缘那个案例了,国内企业很善于直接让人消失,从根源解决问题啊。” “大疆损失名誉,白帽丢了奖金。算是双输吧。” “要在国内早就被抓起来了。DJI 吃相太难看,不过安全人员直接公开也有点不是太好,如果给一个限期:我不要钱不签协议,明确告诉 DJI 10 天后公开?” “单纯报个漏洞是没问题的,但是如果有下面的问题就容易进去:1.大量的获取用户数据;2.厂商没修复,就对外披露细节;3.没有点到为止,继续深入了” “DJI 这法务有趣。人家不用这个私钥登录一下怎么知道这个能不能用,是不是真实的。人家一登录,那又是"非法入侵"…… 这还报个屁的漏洞啊。” “把全部把数据导下来黑市倒卖怎么也不止这点钱啊,闷声发财得了” “大疆还说通过未公开的私钥.....都上传在 github 上给全世界程序员看还未公开....真不知道把私钥上传到 github 的人是怎么想的”