如何看待大疆漏洞獎勵計劃 ,信息安全研究員疑似遭威脅,拒絕獎勵協議並準備公開獲得的信息?
看了下小哥的 PDF(僅小哥單方面),基本事情是:
1. 大疆舉行有獎活動,讓人找 bug。
2. 小哥發現了 Github 上面有大疆的 aws 私鑰。
3. 小哥用私鑰登陸了大疆 aws 伺服器,發現裡面存了很多個人信息,包括護照身份證駕照什麼的。
4. 小哥把這個發現寫到了報告裡面。
5. 大疆工程師回郵件說小哥這是重大發現,可以拿到頭獎 3 萬刀。
6. 小哥和大疆聯繫怎麼領獎,但大疆要小哥簽署的領獎協議裡面有很多的條文小哥覺得寫得不合理,聯繫多次希望修改。
7. 期間,大疆法務部發來通知說,我發現你寫的報告裡面的行為屬於非法入侵我們的伺服器,如果不好好配合,我們保留採取法律措施的權利。
…………………………………………
據 Finisterre 在描述他與大疆交涉的始末中,他在回報問題之前,曾經有向大疆確認過這個漏洞是否屬於懸賞計劃的範圍內,並通過這計劃提交回報,大疆方面雖沒有即時回復,但一段時間後也予以確認。在進一步的研究後,Finisterre 向大疆提交了總共 31 頁的詳細報告,裡頭有著他與其同事所找到的軟體漏洞,包括大疆的 SSL 憑證密鑰的漏洞 -- 這在 GitHub 上被曝光過的漏洞,可讓 Finisterre 存取到大疆伺服器上存儲的客戶資料。Finisterre 在提交報告後,大疆表示這漏洞價值 30,000 美元。但隨之而來的就是一系列有關回報協議的商討過程,而且內容更集中在 Finisterre 對於這漏洞的封口令。在與不同律師討論過後,Finisterre 認為這協議是弊多於利,大疆的目的是在於發現漏洞的人都需要在簽署協議後保持緘默。而且在大疆發出信件表示 Finisterre 沒有被授權存取該公司伺服器之後,他們更保留以《電腦欺詐和濫用法案》追討的權利。結果 Finisterre 放棄了這份協議。
大疆對這次事件發出聲明,指他們要求研究者按照標準條款來參與漏洞懸賞計劃,為的是保護機密資料,和讓他們在漏洞向公眾釋出之前能有時間分析和解決問題。大疆表示他們即使不斷嘗試談判,但認為這位黑客並不同意條款內容,並威脅需要滿足他的要求。雙方各執一詞的結果,就是讓大家都不歡而散,這也大大減少其他安全研究員在參與漏洞回報計劃時的積極性。但說真的,安全研究員想公開自己的發現,而廠商想保密,好像都是很合理的事,很難說在這種情況下誰對誰錯啊?
這種漏洞懸賞計劃在科技界是相當廣泛,三星、蘋果、Twitter、Facebook,甚至暗網的黑市市場也有應用。不過要計划行之有效,他們需要清楚闡明懸賞計劃的條款,但大疆最近才把有關的漏洞懸賞計劃詳情放到網站上。
&<註:小哥就職公司疑為大疆競爭對手&>
某些洗地的誅心之論太難看了,競爭對手公司的人就不能參加黑客攻防大賽了嗎?這麼說,Google舉辦的公開黑客大賽,微軟 Amazon FB的員工就不能參加了?只要那個小哥遵守參加規則,描述的情況是真實的,這鍋大疆是絕對跑不了了。我只想說國內做白帽子的要麼移民要麼趕緊轉行吧。
編輯:以上說的洗地是指某匿名用戶企圖說小哥公司股價下跌所以居心叵測的那個。後來又出現了一個兄台說,【發現漏洞應該直接告訴別人,你怎麼能通過漏洞看別人媳婦洗澡】,對於這位兄台,我不是說你在洗地,但我不同意這個邏輯。
漏洞是什麼?漏洞是一個事後的、確定可以用來造成安全威脅的事實。事前的預測是沒用的,不然我可以隨手說你牆上有一萬個漏洞,肯定至少有兩三個是被我說中的,那有什麼意義呢?又或者就算我準確指出了漏洞,但你悄悄修復了拒不認賬那我能怎麼樣?我就不用什麼看媳婦洗澡這種無聊的例子了。現在假設你就發現了一個「漏洞」,會有這麼三個情況:
一,這個其實不是漏洞,這個是feature
二,這個確實是漏洞,但只是個小bug,根本不值一提
三,這個確實是漏洞,而且很嚴重
上面三個情況,只有第三種是真的可以拿上檯面領獎的。那麼問題來了,你怎麼就知道這個漏洞能造成安全威脅了?肯定是你親自試過有證據在手才敢下結論啊。
我要是發現某公司庫里有個AWS key,有可能這是開發團隊逗你玩的,有可能這個key是以前遺留的現在根本沒用的,也有可能這個key確實是不小心泄漏的,我不親自試一下這個key保留證據,我怎麼確定我可以領獎呢?
現在的問題就是,你一旦試了,就變成非法謀取利益了。
流氓不流氓?
沒自信就不要搞這種懸賞。微軟的系統經常被谷歌找到漏洞,然後谷歌的安全團隊有一個有爭議的原則,一到期限就公開。結果有一次,微軟來不及發布補丁就被谷歌公開了。雖然微軟相當不爽,但也就是公開表達了不滿,後續也沒啥。這兩家在不少領域可是針尖對麥芒的哦。
翻了翻這位小哥的推特,感覺跟題主還有各位答主說的不太一致啊
首先,不是競爭對手公司
題中的白帽子Kevin Finisterre就職於Department 13,是一家做反無人機設備的公司。
D13的反無人機設備主要是通過破解各個廠家的無人機通信鏈路來實現在空中劫持無人機。
但D13目前應該是還沒有成功破解DJI的圖傳協議。
其次,KF在與DJI郵件交涉bug bounty的期間,不斷地在Slack上自己i 建立的channel中呼籲其他的白帽子向其提交更多關於DJI的漏洞,美其名曰可以提高獎金份額。也就是KF在PDF中提到的teammate。
但,最後卻放棄了3萬刀的獎金。
所以,這是白帽子的名譽價值遠遠大於三萬刀還是背後的利益遠遠大於這3萬刀呢?下一個發現大疆漏洞的人還會告訴大疆嗎?
我想問的反而是為何大疆有別人的警察證和駕照信息
發現密鑰當然要試下
萬一是無用的 那就不算啥了啊。
總之 國內公司吃相太難看
個人感覺從企業的角度來講,對於白帽子以及各種眾測的態度是:
我請你來給我的房子做檢查,牆上是不是有漏洞,有沒有人能夠進來。
我希望白帽子提交的內容是,洞1、洞2、洞3。是怎麼發現的,如果我要進去,我會怎麼進去。最好還能提供漏洞的修補思路。
我收到白帽子提交的洞(比如私鑰泄露),我自己去驗證,這個漏洞會造成多麼大的危害。然後給漏洞評級,給白帽子獎勵。
我只是希望白帽子告訴我牆上有個洞。
但是白帽子告訴我:你牆上有個洞,而且我能從洞里看到你媳婦在洗澡。
可能安全人員、技術人員覺得這不算什麼,反正看的也不是我媳婦。
但是老闆、或者是法務這種其他部門考慮這個問題的方式跟咱們是不一樣的,他們會覺得只是讓你來檢查牆面,你居然看我們老闆媳婦洗澡。
大概就是這種感覺吧。
我可以說傳統行業大多數老闆都是這麼想的。
現在白帽子的紅線比以前更敏感了,如果是好心的話。其實提交漏洞的時候就說這裡有個洞就行了,人家也會補上的。
如果是為了錢的話。。。從廠商這裡能弄到啥錢(攤手)
emmm?這屬於DJI公開招募「網路工程師」來檢測自己的漏洞,知道自己存在的bug之後當單方面撕毀條約?
文件在哪裡看的~我也去觀摩一下
吃瓜群眾路過,聽說大疆的回復是此人在對手公司工作。大疆回應用戶數據隱私泄露糾紛:已聘請安全公司調查
雙方說法不太一樣啊,坐等更新的消息...
這個背景很有意思
這個小哥就職的公司Department 13 ,他們主要的產品是這個:
簡單來說就是通過他們的設備可以在空中劫持無人機的操控權,從而保護一些涉及保密或安全的地方不被無人機闖入。
一台這樣的設備大概是34萬美元+每年44000美元的服務費。
然而今年10月,為了適應美國無人機監管,大疆提出了名為AeroScope的技術方案。通過圖傳信號載入無人機的位置、用戶等信息實現低成本監管,費用可能在5000美金左右,給這位小哥就職的D13帶來了競爭傷害。
這個傷害有多大呢,看這張圖:
直接導致D13的股票價格下跌了20%。
一個月之後這位小哥開始說,你們DJI的漏洞我給你找出來了,發獎金居然還要我簽保密協議?你們DJI真流氓!3萬刀的獎金我不要了,Model 3的訂單我也不要了,我要公開你們的漏洞!
好像這位小哥公司的產品就是從破解DJI的無人機系統開始的吧。
哦,
挺有意思的。
挺可憐的白帽子,這世上最險惡的從來不是什麼漏洞病毒,是人心啊
我就想知道,如果不簽保密協議,然後在大疆補上bug之前宣揚出去,大疆不就會受到損失嗎?尤其是這麼敏感的用戶信息安全問題,保密有什麼不對嗎?你發現漏洞,告訴我,我給你錢,別告訴別人~這不很自然嘛?漏洞又不是用來昭告天下的,如果為了給自己加一個小小的「勳章」,完全可以等漏洞補上了的啊。求專業人士解惑~我是不相信大疆想封口然後不改bug,那肯定是作死啊。
現在事情還剛剛發酵,等他們的發展。樓上過早的下論斷不怕被打臉?
下一個世紀佳緣?
又一個世紀佳緣事件,國內公司實在是吃相難看,自己做的爛人家好心指出來還要被搞。
真以為自己搞的是重點科研項目啊~~呵呵~~
想到了世紀佳緣網
()()說了, ()()才能大發財。
店大欺客,欠收拾
大疆這是缺心眼么。
進到伺服器就能輕鬆看到你們的信息嗎?據我所知,就算黑進伺服器,裡面的信息也是經過層層加密的,不會那麼輕易被看到。加密信息到底有多難破解,詳見密碼學。
如果如果題主說的屬實,大疆的伺服器里確實有公民的個人信息資料。身份證和駕照這些信息不大可能是大疆無人機收集集到的,因為無人機很難接觸到這些東西。那麼就有另外一種可能,這些信息從另外的渠道購買的。那大疆完全可以把它存在一個私密的伺服器。
而不是放在這樣一個伺服器里,只是簡單的加密或者壓根不加密,等著你去抓現行。大疆沒這麼腦殘!
知友的腦力也沒題主想像的這麼不夠用!
推薦閱讀: