 文 | 又田 来自雷锋网(leiphone-sz)的报道 如果用一个词形容厂商与白帽子之间的关系,大概就是相爱相杀吧。 虽然多数情况厂商与这些漏洞发现者都保持融洽的关系,但也有不少案例是“相杀”。近期就发生了一件事,大疆和一位提供漏洞的白帽子发生争执,这位白帽子还直接 po 出长文挂了大疆。  白帽子 KF 的一击直球 事情是这样的,今年八月大疆推出了 bug bounty 项目,也就是安全响应中心,主要面向国外的白帽子,为鼓励他们提交漏洞大疆设置了根据问题严重程度从 100-30000 美元不等的奖金金额,涉及的问题包括软件安全、飞行安全以及应用程序稳定性等。 雷锋网从主角凯文·菲尼斯特尔(Kevin Finisterre)在推特po出的长文中了解到,Kevin 在看到这则消息后,邮件联系了大疆了解项目包括的具体范围,并在两周后得到大疆回复确认他提出的漏洞在项目范围内。 于是 Kevin 和搭档整理了长达 31 页的漏洞报告,其中指出他们获得了大疆意外发布至 GitHub 的 SSL 认证私钥,从而可以获得储存在大疆服务器上的敏感用户信息。 简单说,由于大疆使用 Github 管理源代码,并且没有进行加密,导致部分私钥变公钥,诸如 SSL 密钥、AWS Key 等密匙可以在大疆服务器下载包括飞行日志在内的用户资料。 更可怕的是,这些钥匙已经明晃晃挂在 Github 上四年了…… 总之,在了解漏洞后大疆提供给 Kevin 3 万美元的奖励金,Kevin 还兴冲冲地跑去给自己预定了一部特斯拉 Model 3。 但是,大疆对 Kevin 开出了条件,要求他签署 NDA (保密协议)。协议包含不能公开讨论工作细节,并且不能提到他曾经为大疆从事过信息安全方面的工作,以及不能向任何第三方泄露这些漏洞的全部细节。Kevin 的长文中还提到,在双方协商期间,大疆的法务团队曾发给他一封邮件,威胁如果不从的话,要用《计算机欺诈和滥用法》起诉他。  ▲Kevin 文中取消 Model S 预订的截图 Kevin 认为这是种赤裸裸的威胁,因此他最终决定放弃这笔奖金(且取消了 Model S 的预定)并公开了自己的经历。 附上原文链接:http://www.digitalmunition.com/WhyIWalkedFrom3k.pdf 大疆反勾拳 对于 Kevin 的声明大疆则迅速反击。 主要针对几点内容:
以下为11月16日大疆官方回应原文: 大疆创新正在调查一起未经授权入侵大疆服务器数据的信息安全事件,其中可能涉及大疆用户所提交的个人信息。为了保障用户数据安全,大疆已经聘请了一家独立的网络安全公司来进行调查,确定这一入侵事件的整体风险及带来的影响。 今天,一位获取了这些数据的黑客在网上公布了他与大疆员工的保密通信,称其试图获得大疆安全响应中心的“漏洞报告奖励”而被驳回。 事实上,该黑客通过大疆未公开的密钥以不当方式获得数据,这并不符合大疆安全响应中心的初衷与规则。 这位黑客在发现密钥后,并没有像其他白帽子一样仅仅提交漏洞报告,而是利用该密钥下载了部分数据。在大疆创新与其沟通后,他拒绝签订旨在保护用户隐私的保密协议,并就大疆拒绝其要求而对大疆进行信息安全威胁。 大疆创新建立安全应急响应中心以鼓励独立安全研究人员提交潜在的安全漏洞,其要求研究人员遵循的标准条款旨在倡导负责任的漏洞披露,保证在发掘过程中能够充分保护用户隐私,避免造成数据泄露损害用户利益。 大疆始终重视用户数据安全,并诚挚感谢研究人员负责任地发掘及披露可能影响大疆用户数据和大疆产品安全的技术问题,持续改进产品。自安全响应中心建立以来,大疆已向十几名同意标准条款并提交漏洞报告的安全研究人员支付了数千美元奖金。而这一项目还将继续进行,随着更多新漏洞报告的提交,大疆也将为更多安全研究人员支付奖金。  昨日大疆在上述声明的基础上补充了两个信息: 该黑客就职于Department13公司。该公司旗下的产品与大疆的新型AeroScope系统构成直接竞争关系。在大疆发布了AeroScope系统后,Department13的股价大幅下跌20%,跌至21个月以来的低点。 大疆高度重视客户数据的隐私保护,并不断采取措施提高数据的安全性。除非客户自主选择与大疆服务器同步飞行记录,或将照片或视频上传至天空之城,或将产品实物送至大疆进行维修,否则大疆绝不会访问无人机飞行期间生成的飞行记录,照片或视频等数据。 大疆告诉雷锋网,目前其已经重新部署了私钥。另一方面,大疆也透露截止发稿前两天,KF 仍在尝试用其他方法攻击大疆不同产品服务器。 显然,双方各执一词。  参考来源:老鹰说(微信公众号:joeytalks) — 报告下载 — 雷报是雷锋网旗下专门对各个行业报告进行汇总、解读的栏目。在这里,你能看到国内外知名咨询公司、投行机构制作的专业报告,以及雷锋网的独家业界白皮书,让你也能拥有纵览全局的眼界。 回复关键词「薪酬」查看 雷锋网独家针对人工智能行业的薪酬调查 回复关键词「0629」下载 IBM内部关于云计算、区位链、物联网等领域的趋势报告 回复关键词「0633」下载 AI领域史上最全研究、应用、人物专访报告 回复关键词「抢饭碗」计算 你被机器人抢饭碗的概率 回复关键词「高盛无人机」下载 高盛关于无人机未来几年的市场预测 回复关键词「虚拟货币调查」查看 剑桥对目前虚拟货币现状的调查分析  上一篇:Tubi 故事|听说你也是小众技术语言使用者 下一篇:1.2 CareerIn投行PEVC工作机会(校招+社招):招商局 |
/1 
AI智能体
