这位朋友放弃了奖金,并公布了一个严重的问题

2017-11-21 15:46:03 +08:00
 learnshare

http://www.cnbeta.com/articles/soft/672415.htm (无责任贴链接)

老话题,公司的代码不要发布到公开的地方,老代码也是公司的财产。公开发布的代码要清除敏感信息。

还记得坚果 Pro 的数据泄露么?

13626 次点击
所在节点    信息安全
96 条回复
f2f2f
2017-11-21 19:56:19 +08:00
算了 不发表意见了。程序猿都惹不起,当我什么都没说
jeffersonpig
2017-11-21 20:12:14 +08:00
@x86 我的关注点也在这 3W 刀……
qqmishi
2017-11-21 20:16:38 +08:00
我一直觉得发现国内公司的漏洞就应该直接转手卖掉,然后再公布出来,有名有利没风险
kamal
2017-11-21 20:20:25 +08:00
@f2f2f 嘴真硬
hoythan
2017-11-21 20:28:58 +08:00
三万刀怕是只能买车电池
terence4444
2017-11-21 20:31:21 +08:00
@f2f2f DJI 发表公告了,并没有说漏洞发现人有什么问题,之前也看不出有什么问题,你的嘴的确是硬。
f2f2f
2017-11-21 20:32:51 +08:00
@kamal 个人意见 你要是觉得我的观点里有什么跟你观点相左的意思在里面,想要去批判的话请随意。要不要给你个小辫子继续抓?
f2f2f
2017-11-21 20:35:01 +08:00
@terence4444 我也没说人有问题啊,就事论事我觉得吃相不好看,然后你们被某层带个节奏就认为我是针对老外的人品了?
terence4444
2017-11-21 20:42:31 +08:00
@f2f2f 没有一点理由就称“当 X 子立牌坊”,过后还怪别人理解不对,现在还是认为被带了节奏,错的永远是别人。
f2f2f
2017-11-21 21:17:22 +08:00
@terence4444 没有理由?那好,我问你,你能说老外不是因为大疆设立了奖金而把漏洞挖出来的么?如果大疆没设保密条件,那么这是一场完美的交易,大疆修了一个漏洞,老外拿走一笔钱。那么现在只是因为多出来的这个条件没法满足老外所谓“公开展示”的“目的”,然后反悔。这么一个 deal,要是觉得不能接受,那么可以,你可以选择把大疆告了,或者直接转手给黑产,也不会有大疆后面的这么一出。说重了不是立牌坊是什么。

当然对整个事情,两边都有自己的小九九,大疆想自己玩自己的,老外也开了自己的条件。现在因为两边互不满足而开撕。这吃相好看?
f2f2f
2017-11-21 21:25:07 +08:00
@terence4444

via ithome.com/html/it/335403.htm
这位黑客在发现密钥后,并没有像其他白帽子一样仅仅提交漏洞报告,而是利用该密钥下载了部分数据。在大疆创新与其沟通后,他拒绝签订旨在保护用户隐私的保密协议,并就大疆拒绝其要求而对大疆进行信息安全威胁

这算是迟到的理由么?
terence4444
2017-11-21 21:27:59 +08:00
@f2f2f 说实话我震惊了,你居然认为“想出名”比“转手黑产”要恶劣。

真实原因还一定完全是“想出名”,他给了四个律师看都叫他不要签,肯定不是“出名”的原因。
f2f2f
2017-11-21 21:33:23 +08:00
@terence4444 说实话我也震惊了,“转手黑产”和“告了大疆”是并列,那你为何不把你的话换成:“想出名”比“告了大疆”要恶劣?

另外你们眼中的“白帽”是雇佣的,可能人家公司法务也不傻,对吧?干事总归要滴水不漏才不能被对方抓住把柄?
terence4444
2017-11-21 21:43:46 +08:00
@f2f2f 别震惊了,问问你自己为什么把它们并列写在一起,现在又来反问转移焦点。还好帖子不能编辑,你的“转移给黑产说”就如同你的想法已经在你的几个回复之中表露无疑,无论怎么修饰都没有用的。

公司法务要保护自己的利益是不傻,但是你我都不傻,面对完全不顾别人的利益搬不平等条约,别人为什么要鸟你?

发现密钥以后,需要试一下才知道是不是有效。下载了部分数据到底是多少条?是试验目的还是拖库,DJI 也没有说明。也给别人戴上了“黑客”的帽子。

我觉得再和你无休止地搞下去也不会有结果,还是 block 了吧。
上面那段文字也不是写给你看的,而是写给其他看客看的,我也不希望我们的对话变得冗长又无聊,毁掉别人对这个帖子的兴趣。
我也建议其他准备回复你的人,注意不要陷入个人骂战,或者是被带到“转手黑产”和“告了大疆”之类的沟里去,还是需要以这件事情为核心讨论。
hxndg
2017-11-21 23:00:37 +08:00
@terence4444

@f2f2f

这个事情两方都纠缠不清,很多人习惯性的支持“弱势”,也可能确实外国小哥有问题,但也可能不是,所以上来就说 x 子立牌坊是明显过分了。

言语是有温度的
czheo
2017-11-21 23:22:34 +08:00
@x86 写错了,是 model 3
qinxi
2017-11-21 23:35:09 +08:00
@f2f2f 我觉得值一块
istark
2017-11-21 23:37:52 +08:00
像乌云这种应该去国外发展,国内你跟他讲道理,他跟你讲法律,你跟他讲法律,他跟你讲权力,到头来白忙一场,国内吃相这么难看,有 bug,要么捞,要么走,绝不要说出来。
f2f2f
2017-11-21 23:53:36 +08:00
@hxndg 我承认措辞不当,给一些人带来了困扰。但我没有想到我的“相左”观点会因为不恰当得比喻而被一群站“右”的给批判一通。尤其是某层添油加醋说了一句我这是吃不到葡萄说葡萄酸。

这件事,你们觉得小哥没问题,ok。我也就是表达我的观点。虽然立牌坊这短语不好听,但是在我观点来看是符合我对小哥这次行为的描述的。尤其是后面爆出他是竞争公司雇佣的(虽然只是大疆单方面说辞)

抛开后面大疆的声明,就对事情前半段讨论下:

首先,整个事件无非就是一个商业公司私底下搞了一个活动给出了个 deal,然后因为和小哥对这个 deal 没谈拢,公司就钻了活动“最终解释权”的空子拒绝小哥,然后小哥很不爽就把事情捅出去去了。

大疆有问题吗?有,我观点里表达的很清楚。

那小哥有问题吗?我觉得也有啊:首先,漏洞关乎商业机密以及隐私安全,大疆提出的签一份保密协议,我觉得本身没什么问题,做安全的,这点良心总该得有吧?其次,既然小哥觉得这份协议内容限制了他展示自己技术实力的自由,大疆私自修改游戏规则,是违约行为,那也没问题,直接法庭上见咯。至少大疆和小哥契约关系总是存在的吧?这又不是小哥义务给大疆找漏洞。再者,真要秀技术,不在乎这点钱的,早就给你漏洞扒出来细节发网上了,还要等到你大疆宣布搞个漏洞悬赏活动的那一天?

联想到之前 Google Security Team 好几次都在 Microsoft 修补之前就把人家的漏洞细节发出来了,那才叫牛。你说这 Google 向 Microsoft 要过钱没要到呢,还是 Microsoft 搞了类似活动让 Google 参加结果不给人家钱了?貌似都不是吧?

这就是让我觉得小哥立牌坊的原因。当然,可能是说太重了。小哥只是单纯地要了份技术自由没要到而已。

前面有几位非得让我给出理由,现在我给了,你要继续说我嘴硬也好狡辩也罢我也懒得理了,因为关于这个讨论没必要深究下去,大家把理说死就太没意思了。
Quaintjade
2017-11-21 23:55:18 +08:00
@f2f2f
所以在你眼中这就是个大疆出钱买漏洞私了的交易?那么大疆打着“悬赏除虫”的名号才是当 X 子立牌坊,应该叫做“公关封口费”才对。

同时,看了大疆的声明再看看小哥的叙述,看看他(以及 4 个律师)为什么拒签大疆号称的“旨在保护用户隐私的保密协议”。
https://regmedia.co.uk/2017/11/16/whyiwalkedfrom3k.pdf

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/408289

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX