上月提及有傳數名用家的漏洞報告已獲大疆創新( DJI )方面承認,其中一名回報者現身說法,指責回報協議內容嚴苛,並指當他決定放棄協議及 30,000 美元懸賞後, DJI 威脅稱保留《電腦欺詐和濫用法案》的法律追究權利,是次事件有感將大大打擊回報人員積極性。
值 30,000 美元的最高級漏洞
任職網絡安全研究人員的回報者 Kevin Finisterre ,使用代碼共享網站 Github 提供的私鑰,成功存取 DJI 伺服器上儲存上之用戶數據,包括未加密飛行記錄、護照號碼、駕駛執照及身份證等機密資料。 Kevin Finisterre 其後把報告提交至 DJI 漏洞懸賞計劃,被評定該漏洞達最高威脅級別,可獲 30,000 美元懸賞。
DJI 方面承認威脅報告被接納,並開出 30,000 美元回報的條件。
DJI 可就報告進行法律追究
一般情況下,回報人員把漏洞回報至相關公司後,會給予公司一段時修復已識別的漏洞,然後再公開研究成果。但在洽商回報的過程中, DJI 方面要求 Kevin Finisterre 簽訂保密協議,在未經 DJI 書面許可下,不得向任何人公開其發現的漏洞。 Kevin Finisterre 認為合約協議威脅其言論自由,於是拒絕簽訂,DJI 隨即發出電郵,指 Kevin Finisterre 存取用戶數據的行動未獲 DJI 授權,是為不合法,該公司將保留法律追究權利。
DJI 官方回覆電郵頗有威脅意味。
DJI 官方回應
DJI 方面回應上述事件時稱,要求回報人員簽署漏洞獎勵計劃條款,旨在保障數據隱私,爭取在漏洞前公佈進行分析並予以解決,而事件回報人員不僅拒絕同意條款,更威脅攻擊 DJI 資訊安全。
DJI 安全應急響應中心成立以來,實已獎勵十多名同意條款的回報人員,共支付數千元美金獎金。隨著更多新漏洞報告的繳交, DJI 指將對更多安全研究專家支付獎金。
中的【延伸閱讀】DJI 懸賞 3 萬美元,召集資安專家尋找無人機軟件漏洞
【延伸閱讀】5 個你所不知道的 DJI 產品 #1 是劃時代產物
【延伸閱讀】DJI 離線操作模式正式推出 保私隱 停提示
