大疆威胁起诉后:安全研究人员决定放弃3万美元的漏洞赏金_最新动态_新闻资讯_程序员俱乐部

中国优秀的程序员网站程序员频道CXYCLUB技术地图
热搜:
更多>>
 
您所在的位置: 程序员俱乐部 > 新闻资讯 > 最新动态 > 大疆威胁起诉后:安全研究人员决定放弃3万美元的漏洞赏金

大疆威胁起诉后:安全研究人员决定放弃3万美元的漏洞赏金

 2017/11/21 18:04:26    程序员俱乐部  我要评论(0)
  • 摘要:今年8月份的时候,大疆发起了一个“悬赏除虫”项目,旨在吸引安全研究人员提交相关漏洞。根据bug的严重程度,参与者可获得100到30000美元不等的奖金。活动开始没几天,研究人员KevinFinisterre就立即联系该公司,汇报了一个相当严重的问题——大疆的SSL证书和AES加密密钥已被公开在GitHub上。在新密钥被创建和部署之前,当前的加密措施将形同虚设。据Finisterre所述,其汇报的问题理应包含在大疆的漏洞奖赏项目之内
  • 标签:漏洞 研究

  今年 8 月份的时候,大疆发起了一个“悬赏除虫”项目,旨在吸引安全研究人员提交相关漏洞。根据 bug 的严重程度,参与者可获得 100 到 30000 美元不等的奖金。活动开始没几天,研究人员 Kevin Finisterre 就立即联系该公司,汇报了一个相当严重的问题 —— 大疆的 SSL 证书和 AES 加密密钥已被公开在 GitHub 上。在新密钥被创建和部署之前,当前的加密措施将形同虚设。

DJI Bug Bounty.jpg

  据 Finisterre 所述,其汇报的问题理应包含在大疆的漏洞奖赏项目之内。在经过了长时间的电子邮件沟通之后,大疆提出了要对此事严格保密的协议要求。

  虽然大疆此举是为了防止漏洞被公开利用,但对安全研究人员来说,被认可和获得金钱奖励一样重要。

  要领取这笔奖金,Finisterre 不得不签署这份对他而言不公平、未对其未来的法律行动提供保护的协议。更遗憾的是,大疆还向他发出了“计算机欺诈和滥用行为”的威胁。

  在与多名律师讨论后,Finisterre 决定放弃奖金以远离是非,并将其发现公之于众。感兴趣的网友们可以自由地阅读他披露的全部信息(PDF),并得出自己的结论。

  [编译自:TechSpot]

发表评论
用户名: 匿名