今年 8 月份的时候,大疆发起了一个 “漏洞赏金” 项目,旨在吸引安全研究人员提交相关漏洞。根据 bug 的严重程度,参与者可获得 100 到 30000 美元不等的奖金。活动开始没几天,研究人员 Kevin Finisterre 就立即联系该公司,汇报了一个相当严重的问题 —— 大疆的 SSL 证书和 AES 加密密钥已被公开在 GitHub 上。在新密钥被创建和部署之前,当前的加密措施将形同虚设。
据 Finisterre 所述,其汇报的问题理应包含在大疆的漏洞奖赏项目之内。在经过了长时间的电子邮件沟通之后,大疆提出了要对此事严格保密的协议要求。虽然大疆此举是为了防止漏洞被公开利用,但对安全研究人员来说,被认可和获得金钱奖励一样重要。要领取这笔奖金,Finisterre 不得不签署这份对他而言不公平、未对其未来的法律行动提供保护的协议。更遗憾的是,大疆还向他发出了“计算机欺诈和滥用行为”的威胁。
在与多名律师讨论后,Finisterre 决定放弃奖金以远离是非,并将其发现公之于众。感兴趣的网友们可以自由地阅读他披露的全部信息,并得出自己的结论。大疆有关此事的回应,称该研究人员通过大疆未公开的密钥以不当方式获得数据,这并不符合大疆安全响应中心的初衷与规则。
稿源:cnBeta,封面源自网络;
source: hackernews.cc.thanks for it.