怎么看《大疆漏洞奖励计划:信息安全研究员遭威胁,决定放弃 3 万美元的漏洞赏金》

2017-11-21 16:51:27 +08:00
 unknowfun

简单的说就是:一个叫 Kevin Finisterre 的安全员发现了 DJI 网页安全的一个严重漏洞,获得了 DJI 意外发布至 GitHub 的 SSL 认证私钥,从而可以获得储存在 DJI 服务器上的敏感用户信息。在和 DJI 邮件沟通过程中,DJI 说可以领取奖金,但要求他不能公开讨论工作细节,甚至不要提到他曾经为 DJI 从事过信息安全方面的工作, 要领取这笔奖金,Finisterre 不得不签署这份对他而言不公平、未对其未来的法律行动提供保护的协议,Finisterre 不同意,接下来,DJI 向他发出了“计算机欺诈和滥用行为”的威胁

1: Man Finds DJI Customer Data Exposed, Gets Threat and Rejects $30K Bounty

2:why i walked from 3k

9434 次点击
所在节点    信息安全
48 条回复
QQ2171775959
2017-11-22 11:12:11 +08:00
法律可不管你是试验还是干什么,你发现了漏洞并接触了不被授权接触的数据,别人就可以告你违法,这就是为啥白帽子在国内很艰难的原因,因为你说你发现了漏洞?你不去试试你怎么知道漏洞是不是存在,你一试,哪怕下载了一个字节,你就违法了,因为在授权商这些数据你无权接触,这其实就是为啥乌云挂掉的原因。法律上的解决安全问题的思路是“禁止任何人接触不被授权接触的数据”;而技术人员的思路是“验证一下漏洞然后尽量修复”。这是存在本质冲突的,所以我强烈的不建议各位自己去搞什么安全行业,除非你在大的安全厂 说得太好了。。。
abcbuzhiming
2017-11-22 11:12:20 +08:00
@terence4444 不,你弄错了一件事情,实际上,这不是中国还是外国的问题,外国的法律也是这么定的,法律解决问题的思路和技术人员解决问题的思路完全不一样,只不过你可以认为外国资本发展这么多年,野蛮时代已经过去了,所以在这个问题上态度比国内温和而已。实际上,哪国的法律都是这么定的:计算机的漏洞就像别人家的门忘记锁了,就算你看见了,你也不能进去,你说我要进去拿一个字节验证一下,对不起,你犯法,剩下的就是我告不告你的问题了
deeporist
2017-11-22 11:18:58 +08:00
扶老人 交漏洞
terence4444
2017-11-22 11:45:34 +08:00
@abcbuzhiming
规定是这样没错,这种事情算是刑事还是民事,刑事的话是自诉还是公诉,不知在各个国家是怎么规定的。
一般国外的公司不会轻易威胁或起诉报告漏洞的人员,这样会造成什么后果大家都知道,而且即使起诉也不会派警察去抓人,而且会有一个庭审的过程。所以我觉得把国内的情况套用到国外并不合适。

DJI 事件当事人也是咨询了四个律师以后才决定放弃奖金,DJI 也不会去起诉他,这要是放国内的话早就被抓起来了吧。
ayang23
2017-11-22 12:08:22 +08:00
这样也挺好,把提交漏洞这条路堵死后,搞漏洞的就只能使劲搞他或者去黑市卖掉让别人搞了。
uan
2017-11-22 12:11:10 +08:00
这要是放国内的话早就被抓起来了吧
mayne95
2017-11-22 13:12:56 +08:00
@ayang23 最后的受害者还是用户,隐私泄露,各种骚扰诈骗,仿佛被强奸。厂商没能力保护数据,又非要实名
cisisustring
2017-11-22 13:33:45 +08:00
以后发现漏洞,直接卖给第三方就好了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/408316

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX