DJI 漏洞懸賞計劃很霸道 拿不到 30,000 懸賞反被控?

上月提及有傳數名用家的漏洞報告已獲大疆創新( DJI )方面承認,其中一名回報者現身說法,指責回報協議內容嚴苛,並指當他決定放棄協議及 30,000 美元懸賞後, DJI 威脅稱保留《電腦欺詐和濫用法案》的法律追究權利,是次事件有感將大大打擊回報人員積極性。

值 30,000 美元的最高級漏洞

任職網絡安全研究人員的回報者 Kevin Finisterre ,使用代碼共享網站 Github 提供的私鑰,成功存取 DJI 伺服器上儲存上之用戶數據,包括未加密飛行記錄、護照號碼、駕駛執照及身份證等機密資料。 Kevin Finisterre 其後把報告提交至 DJI 漏洞懸賞計劃,被評定該漏洞達最高威脅級別,可獲 30,000 美元懸賞。

30000 award
DJI 方面承認威脅報告被接納,並開出 30,000 美元回報的條件。

DJI 可就報告進行法律追究

一般情況下,回報人員把漏洞回報至相關公司後,會給予公司一段時修復已識別的漏洞,然後再公開研究成果。但在洽商回報的過程中, DJI 方面要求 Kevin Finisterre 簽訂保密協議,在未經 DJI 書面許可下,不得向任何人公開其發現的漏洞。 Kevin Finisterre 認為合約協議威脅其言論自由,於是拒絕簽訂,DJI 隨即發出電郵,指 Kevin Finisterre 存取用戶數據的行動未獲 DJI 授權,是為不合法,該公司將保留法律追究權利。

DJI Email
DJI 官方回覆電郵頗有威脅意味。

DJI 官方回應

DJI 方面回應上述事件時稱,要求回報人員簽署漏洞獎勵計劃條款,旨在保障數據隱私,爭取在漏洞前公佈進行分析並予以解決,而事件回報人員不僅拒絕同意條款,更威脅攻擊 DJI 資訊安全。

DJI 安全應急響應中心成立以來,實已獎勵十多名同意條款的回報人員,共支付數千元美金獎金。隨著更多新漏洞報告的繳交, DJI 指將對更多安全研究專家支付獎金。

中的【延伸閱讀】DJI 懸賞 3 萬美元,召集資安專家尋找無人機軟件漏洞
【延伸閱讀】5 個你所不知道的 DJI 產品 #1 是劃時代產物
【延伸閱讀】DJI 離線操作模式正式推出 保私隱 停提示

首圖來源:shutterstock
資料及圖片來源:BBCThe Verge

想第一時間收到無人機的最新情報?立即加入我們的Facebook粉絲團吧!
想要看更多像這樣的無人機新聞?訂閱我們的電子報!

 

作者:由子

巨蟹座小女生,愛吃愛玩坐不定,熱愛搜羅科技新鮮事。沒有能耐在空中翱翔,唯有躲在航拍鏡頭後看世界。

 

作者:由子

巨蟹座小女生,愛吃愛玩坐不定,熱愛搜羅科技新鮮事。沒有能耐在空中翱翔,唯有躲在航拍鏡頭後看世界。