如何看待大疆的伺服器 key 在 Github 上泄露事件？

12-28

因為字數限制，原文在大疆 VS 「白帽子」，到底誰威脅了誰？
各位逼乎水友對此表示什麼樣的一個態度呢？
---
首先，謝謝各位回答，很高興能看到各位對此事件抱有積極的興趣來共同與我探討（或者說是瞎扯呢？哈哈）這件事，我覺得首先大疆將key放在github上本就是一種及其缺乏安全意識的舉措，難道大疆對自己用戶的隱私不抱有高度的安全警覺意識嗎？還有那位「白帽子」小哥（為什麼要加引號呢？因為現在媒體對於這位小哥的身份飄忽不定、模糊不清，又是黑帽子又是白帽子的），他放棄3w美刀獎金的原因可能是對於大疆態度的不滿意吧，畢竟大疆對於此事的與小哥商討時的態度是很強硬的，經常在圈子裡混的都應該有和小哥一樣的，不服輸的一股傲氣，所以才會導致出現現在這樣的結果。我只是一名普通的Java開發，對於白帽子圈內了解不深，我覺得，如果白帽子們和公司之間，互相各退一步、換位思考，豈不是對用戶、白帽子們和廠商們來說都是一件極好的事情呢？

說明把代碼放在一個默認public repo的託管服務商容易誤操作，歡迎大家使用http://visualstudio.com，一樣是git，默認private（你連public的辦法都沒有），人少的話連CI也不要錢，沒有功能限制，爽的一比。

微軟開發Windows、Office和SQLServer也是用http://visualstudio.com的CI工具來做軟體工程的流程管理，功能絕對夠用，流程完全自定義，想多agile就有多agile。

P.S.

不註冊看不到界面，只會讓你下載VS。

說明不知道最基本的軟體工程原則：

測試系統和生產系統使用不同的密鑰，甚至是不同的密鑰管理/讀取機制。生產系統的密鑰，包括管理方式對程序員保密，甚至對運維保密，只有董事長（或技術創始人董事）知道怎麼管理和部署

你在github上搜搜 password 啥的看看，什麼都有。

常常收到內部郵件，xx yy 員工把公司代碼上傳 github 被記過被警告，前不久還勸退了兩個。

工程師質量參差不齊，git github gitlab 都分不清楚，誤傳了代碼，圖方便，不知道風險都是家常便飯。

不過也有明目張胆把代碼傳到 github，然後把 repo 名稱寫到注釋里的童鞋，這膽子也太大了，不過至今沒人(風控)發現。

我有一個網站 https://qianduan.group，本來是開源的，有一次把用戶初始密碼，第三方服務密鑰提交到 github 了，為時已晚，只好閉源了 ?_?

各執一詞，等待反轉。

國際一流大廠比如谷歌微軟，提交了漏洞之後，即使收了錢，也還是可以在對方同意且漏洞修復的情況下公布漏洞詳情的。比如微軟跟谷歌的安全團隊近兩年一直在互相曝漏洞。

下載數據部分，我認為以漏洞證明為前提，查看極少量數據信息是默許通例吧？但是如果以獲取數據為目的故意去大量下載敏感數據或者有目的性的獲取特定數據，肯定是不合規的（src都有前置條款的）。

就目前來看，大疆要求對方簽署保密協議的行為符合國內企業一貫作風，出事兒了要捂住，花了錢就要買你閉嘴。而對方身份可能對於大疆來說過於敏感，具體過程中發生了什麼導致雙方撕起來不得而知。

這個事分兩個部分：

一是不靠譜的大疆程序員。簡單說，能直接把production key放進git的人，不是懶就是蠢。懶的可能性要大一點。

對於一般service，不管java python ruby，都會有一個config file，把相關參數和ssh key這種都放進去。這個config file是不進git的，但是可以放一個config file sample，方便其他程序員快速clone和開發。用yaml格式來做config file的比較多一點，比如你的配置文件叫config.yml,在.gitignore裡面加上config.yml,然後複製一份去掉了sensitive data的文件叫config.yml.sample,添加進git即可。

如果要管理多個key或者sensitive data，可以用databag對數據進行加密。在公司內部部署一台databag伺服器，將所有敏感信息都儲存成加了密的json；只需保存好databag自身的private key即可

多說一句，這種體量的公司，一個key用了4年，定期的key rotation都不做？是不是考慮找個chief security officer了？

我不是安全工作者，但是見得太多。。。

這事兒另外一個部分就是公司公關部門主動給自己加戲。

這在自認為特別牛逼、特別自豪的公司裡面是重災區，比如之前的樂視。

就不展開了。

先說一說這是一件什麼事？估計很多人看了都一臉悶逼。大疆這個公司哈，就是做無人機的那個公司，搞了一個找bug的項目，就是所有的程序員都可以來給我們產品找bug,也就是漏洞，找到的我們支付獎金，然後就有一個叫KF的白帽子找到了一個大bug。

啥叫白帽子呢？大家都知道網路攻擊的黑客是吧？那叫黑帽子，找到系統漏洞，發起攻擊，比如前不久的比特幣病毒。白帽子呢就是說我找到漏洞了，然後我告訴你，然後你把他修復了，你給我酬勞。

再說說這是一個什麼bug呢？這個bug因為是一個大疆的一個比較弱智的bug,他們把代碼和一些數據放到了github上，github就是一個程序員用來放代碼的地方，然後沒加密，只是用了私鑰，然後這個KF發現漏洞能把私鑰變公鑰，直接能下載一些例如用戶信息的敏感信息。

KF發現了這麼大的bug,和搭檔寫了30多頁的報告發給大疆，大疆說可以，那就發三萬美金作為回報。

沒聽錯，就是30000美金，不到200000人民幣，KF說我們兩個人呢？怎麼分？我還準備買特斯拉呢？

然後就撕票了嘛，說我獎金不要了，把這個漏洞公布出去。結果兩邊就開始撕逼了。

最後比較意外的是這位自稱KF的白帽子居然是大疆競爭公司下的員工。

其實黑與白只在一念之間，白帽子和大疆的愛恨情仇,結局無非兩種:要麼變黑,要麼變瘋。

愉快的發現輪子哥的廣告底下有人安利我家產品 http://Coding.net。

好用的主打私有倉庫的代碼託管、研發流程類產品 http://Coding.net。還有 WebIDE ，動態 Pages 等等黑科技。還有很多貼心好用的小功能：你不知道的 Coding 黑科技 - Coding 博客

回到這個問題來說，說明了三個問題：

企業真的很需要規範、高效的研發管理流程。使用公開項目管理企業代碼甚至密鑰這一結果，基本是由於現有流程低效，執行人員怕麻煩，又沒有安全意識就小範圍的使用這種方式進行管理造成的。
公司缺乏和白帽子溝通的能力，就現有的信息來說，其實大疆的要求是比較合理的，白帽小哥也沒有提出啥無理的要求，看起來就是溝通的問題造成了白帽小哥覺得自己被威脅了。公關部門需要按照公關對象進行崗位設置了，不能啥情況都用法務去信的方式解決了，現有的精英階層並不吃這一套。
特斯拉 Model 3 真是帥啊……

說明他們中出了一個智障程序員。
這種把重要數據放在 GitHub 上的程序員可不少呢～

前幾天不是有個知友提了個問嗎？
就是把公司代碼放到網上的。
知乎問答：把公司代碼上傳到了git上，被leader發現了怎麼辦？
把公司代碼上傳到了git上，被leader發現了怎麼辦？ http://www.zhihu.com/question/67735243?utm_source=com.example.android.notepadutm_medium=social （分享自知乎網）
會不會是這個人啊？

謝邀

反正各說各的，互相撕唄。誰也拿不出什麼證據來。

但是既然題主問的是key泄露，

這種錯誤，不是大疆這種年輕公司該犯的，

就算是幾年前的失誤。

我看了一下大疆協議的條款，還是挺正常的，

有20w大部分人顯然會簽啊。

但是如果真的威脅說不簽就起訴的話

是挺不厚道的

-----------------分割-------------------

我說怎麼這個問題突然就火了

原來碰上了輪子哥來打廣告

對於快速迭代開發的分散式服務/垂直整合項目很正常。
一大堆組件粘在一起沒出bug才是正事，加密什麼的看到就煩。

以前還道聽途說過更誇張的：

IDF某部被要求快速研發一款偵查用無人機。因為上面催的很緊，圖傳沒有加密

然後飛出去沒幾天，被真主黨的人破解了。。。

之後該機場附近的陸軍基地每天被真主黨的82mm和自己的無人機校正炮擊。。。

喔，挺好的

原來30W就能解決的事情

這下子，也許300W都沒法解決？

看吧，公關想省錢，企業得大賠

該

活該

密鑰都公開放

這很大疆

服

我就隨便在GitHub逛了逛，都能撿到一台伺服器。

只能說搬磚工太多了，絲毫不懂得動一下他寶貴的腦子。

還有這個所謂的白帽子，也是一點黑客精神都沒有。

其實我覺得大疆的做法沒啥好非議的：「你發現了漏洞，我獎勵你，但首先要你能保證不用這個漏洞做出危害我們的事情發生，不是很正常嗎？」

不請自來，前白帽子
企業設立私有SRC的目的不就是在於通過獎勵換取漏洞報告的同時使得漏洞不被私自披露嗎？尤其是這種威脅大涉及面廣的，消除威脅需要時間，而不當的披露（比如提前以及包含敏感信息的）在增加額外的威脅的同時還可能會讓公眾產生不必要的恐慌（比如，雖然威脅很大，但通過調查沒有發現被其他人利用過這種，當然如果已經確定被利用那麼我認為還是一定要對用戶進行風險提示的，但漏洞細節這種披露反而會帶來額外的風險，尤其是這種複雜且涉及面廣的），所以乾脆就禁止掉好了，而且這獎勵其實算是非常良心了。
另外就看國內，自從烏雲掛了之後還有哪個平台會對披露白帽子提交的漏洞細節持積極態度的。

之前去面試過2次，剛好面試的都是技術。面試官給我的感覺就是我們是大公司，我們財大氣粗，我們是很優秀的。一副趾高氣昂的樣子，給人高高在上的感覺。然而面試的問題體現出其水平的拙劣，當我指出他對某個知識點理解有誤的時候，卻諱疾忌醫的態度敷衍。我想一個公司在快速發展的階段難免會進來一些出現一些素質一般的人。然而第二次去的時候給我的感覺依然是這樣。回去看，出現這樣的問題我一點也不感到意外。

自己公司代碼放到github上也是醉了。

為啥公司不自己搭建一個git？

不請自來。
首先，大疆像大部分互聯網公司一樣，都有自己的持續集成平台和內部代碼庫。內部的安全系統很完善。
這次泄漏事件真正的原因，恐怕是部分員工在剝離業務邏輯上傳開源項目的時候忘記刪掉key了。
給自己貼金要謹慎啊……

說點和白帽小哥題外的話，為啥大疆會把私鑰放在Github上。。。實在是不理解啊, 最花點錢放在CDN上也比這個好吧

我會告訴你們vim是可以用來加密文件的嗎？
就算告訴了你們，我也不會告訴你們我的密碼放在哪個文件中

這些人用git都不寫.gitignore嗎