大疆威胁起诉后：安全研究人员决定放弃 3 万美元的漏洞赏金

今年 8 月份的时候，大疆发起了一个 “漏洞赏金” 项目，旨在吸引安全研究人员提交相关漏洞。根据 bug 的严重程度，参与者可获得 100 到 30000 美元不等的奖金。活动开始没几天，研究人员 Kevin Finisterre 就立即联系该公司，汇报了一个相当严重的问题 —— 大疆的 SSL 证书和 AES 加密密钥已被公开在 GitHub 上。在新密钥被创建和部署之前，当前的加密措施将形同虚设。

据 Finisterre 所述，其汇报的问题理应包含在大疆的漏洞奖赏项目之内。在经过了长时间的电子邮件沟通之后，大疆提出了要对此事严格保密的协议要求。虽然大疆此举是为了防止漏洞被公开利用，但对安全研究人员来说，被认可和获得金钱奖励一样重要。要领取这笔奖金，Finisterre 不得不签署这份对他而言不公平、未对其未来的法律行动提供保护的协议。更遗憾的是，大疆还向他发出了“计算机欺诈和滥用行为”的威胁。

在与多名律师讨论后，Finisterre 决定放弃奖金以远离是非，并将其发现公之于众。感兴趣的网友们可以自由地阅读他披露的全部信息，并得出自己的结论。大疆有关此事的回应，称该研究人员通过大疆未公开的密钥以不当方式获得数据，这并不符合大疆安全响应中心的初衷与规则。

稿源：cnBeta，封面源自网络；

source: hackernews.cc.thanks for it.