怎么看《大疆漏洞奖励计划:信息安全研究员遭威胁,决定放弃 3 万美元的漏洞赏金》

2017-11-21 16:51:27 +08:00
 unknowfun

简单的说就是:一个叫 Kevin Finisterre 的安全员发现了 DJI 网页安全的一个严重漏洞,获得了 DJI 意外发布至 GitHub 的 SSL 认证私钥,从而可以获得储存在 DJI 服务器上的敏感用户信息。在和 DJI 邮件沟通过程中,DJI 说可以领取奖金,但要求他不能公开讨论工作细节,甚至不要提到他曾经为 DJI 从事过信息安全方面的工作, 要领取这笔奖金,Finisterre 不得不签署这份对他而言不公平、未对其未来的法律行动提供保护的协议,Finisterre 不同意,接下来,DJI 向他发出了“计算机欺诈和滥用行为”的威胁

1: Man Finds DJI Customer Data Exposed, Gets Threat and Rejects $30K Bounty

2:why i walked from 3k

9434 次点击
所在节点    信息安全
48 条回复
terence4444
2017-11-21 21:33:13 +08:00
@jjx 他是哪个公司的一点都不重要,要真是存心想搞坏竞争对手,就直接拖库好了,还找 DJI 干什么?
DJI 把这个列出来就是因为没什么好写的,非要加一笔是竞争对手公司的。这样恰恰说明了被 DJI 称为“黑客”的他,没有拿数据去作恶,还找了 DJI 说明情况。

@inkedawn 发现密钥以后,需要试一下才知道是不是有效。下载了部分数据到底是多少条?是试验目的还是拖库,DJI 并没有说明。
cnTangLang
2017-11-21 23:19:23 +08:00
国内互联网环境和执法环境比较恶劣,从我自身的经历得出的结论:发现问题,尽量自己避免就行了,其他的行为,都有可能给自己带来不必要的麻烦,包括告知漏洞所属的企业或政府部门。
vmebeh
2017-11-21 23:27:00 +08:00
公钥泄露了这么久,数据已经不值钱了吧
inspiron530s
2017-11-22 00:36:41 +08:00
又一个罗生门。各说各话,真相不明
SuperMild
2017-11-22 01:26:48 +08:00
@jjx 是竞争公司的员工有什么问题?
SuperMild
2017-11-22 01:30:08 +08:00
我现在才看到大疆的澄清,大疆这是在给自己抹黑吧,这澄清文写得太恶心了。
nodin
2017-11-22 08:37:57 +08:00
竞争对手咋了?微软、谷歌之类的还不是经常互挖漏洞,也没人进去。
yanzixuan
2017-11-22 09:06:38 +08:00
@SuperMild DJ 这么有钱,为这点钱把形象都搞坏了,真是不值。。。
abclearner
2017-11-22 09:17:25 +08:00
很简单 dj 从此一生黑
momocraft
2017-11-22 09:27:24 +08:00
先进技术和国企式的思想是可以共存的
MrYELiex
2017-11-22 09:43:52 +08:00
要求他不能公开讨论工作细节,甚至不要提到他曾经为 DJI 从事过信息安全方面的工作
没觉得有什么问题有什么不公平 你不签鬼知道你后面还要拿来干什么 毕竟是敏感漏洞
type
2017-11-22 10:00:50 +08:00
解决提出问题的人,这不是一贯的思路么?
SuperMild
2017-11-22 10:08:47 +08:00
@MrYELiex 问题是小哥找四个律师看过说不能签,他不能透露文件内容,但是大疆可以,如果文件没问题,大疆完全应该发出来让大家看看,然而大疆不仅没有,对这件事的过程一句话都没有说,反而全文抹黑对方。
qsnow6
2017-11-22 10:15:28 +08:00
别说了,DJI 的澄清文写得跟屎一样,转移视线;攻击是竞争对手员工的身份,这不符合罗伯特议事规则
jccg90
2017-11-22 10:15:35 +08:00
哈,本质上就是认罪书,签完就抓人。。。之前被抓的好像就是这种套路
abcbuzhiming
2017-11-22 10:16:52 +08:00
@terence4444 法律可不管你是试验还是干什么,你发现了漏洞并接触了不被授权接触的数据,别人就可以告你违法,这就是为啥白帽子在国内很艰难的原因,因为你说你发现了漏洞?你不去试试你怎么知道漏洞是不是存在,你一试,哪怕下载了一个字节,你就违法了,因为在授权商这些数据你无权接触,这其实就是为啥乌云挂掉的原因。法律上的解决安全问题的思路是“禁止任何人接触不被授权接触的数据”;而技术人员的思路是“验证一下漏洞然后尽量修复”。这是存在本质冲突的,所以我强烈的不建议各位自己去搞什么安全行业,除非你在大的安全厂
terence4444
2017-11-22 10:48:08 +08:00
@abcbuzhiming 所以这件事情要用国内法律解决,因为 DJI 是一个中国公司吗?
helica
2017-11-22 10:54:09 +08:00
中国有句老话,叫…
Zzzzzzzzz
2017-11-22 11:05:09 +08:00
@yanzixuan 它在航模圈形象从来没好过, 口碑好的只是产品, 5000 以上无竞品是事实.....

@terence4444 大部分国家都这样, 盲扫端口就属于 illegal 了, webpy 作者还不是去下了一堆未被授权的东西被搞到自杀, 只不过大家看到的都是拿了公开悬赏漏洞大厂银子的白帽子的风光, 忘了这行当本来就是行走在河边的
SuperMild
2017-11-22 11:08:10 +08:00
随意搜索了一下,貌似 DJI 选择在国内起诉也可以,但即使胜诉也不能跨国执法,只是那小哥以后不能来中国了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/408316

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX