中国黑客论坛,黑客论坛,黑客工具,黑客技术,黑客教程,QQ技术,黑客基地,黑客攻防,黑客软件,定位

 找回密码
 注册会员

QQ登录

只需一步,快速开始

查看: 231|回复: 0

一言不合就公布:条款争议惹黑客公布DJI安全后门

[复制链接] 分享到朋友圈
   0 UID
   0帖子
   0精华
19
   0威望
500
   0金币
58862
   0贡献
5000
   0阅读权限
   200
   积分
   0
   在线时间
   375 小时
   最后登录
   2018-5-24
发表于 2017-11-27 20:56:19 | 显示全部楼层 |阅读模式
生活圈制作
漏洞赏金计划是目前比较流行的一种网络安全解决方案,企业或者其他组织机构可用通过借助第三方公司、团队或独立个体黑客来尝试寻找出其产品或系统中的漏洞。

目前,有很多企业都选择了发起这样一个计划,包括诸如谷歌、微软、Facebook和Mozilla这样的科技巨头都会选择在适当的时候发起这样一个计划。

无人机制造商深圳市大疆创新科技有限公司(DJI-Innovations,简称DJI)在8月份也推出了自己的漏洞赏金计划。不过,DJI的这个计划去引来了一些非议。

安全研究员Kevin Finisterre在上周一公开披露了一个漏洞。一个安全后门,属于DJI推出的应程序DJI Go,允许攻击者远程通过这个后门获取到SSL证书私钥,也就意味着攻击者能够访问存储在DJI服务器上的用户资料。

这个漏洞原本是Finisterre通过DJI的漏洞赏金计划发现的,并通过电子邮件向DJI进行了通报。DJI证实了漏洞的有效性,并承诺将向Finisterre发送3万美金作为奖励。

一切都似乎很顺利,在Finisterre的描述中,他甚至还兴奋地提前订购了一辆特斯拉汽车。但接下来,事情却发生了转变。

DJI向Finisterre发出一份合同,要求他不要公开讨论他发现的漏洞,并且不要告诉任何人他从事了与DJI安全有关的工作。这就好比一名演员排了一部好莱坞大片,但该演员的名字却不能出现在片尾的演员名单中。

对于Finisterre来说,DJI提出的要求显然是不合理的。在反复的争执中,DJI最终向Finisterre发来了一封电邮,其中提到了《计算机欺诈和滥用法》。

Finisterre认为他受到了威胁,因此拒绝了DJI的奖金,并决定公开披露他发现的漏洞。

事件本身到此就已经结束,但对于孰对孰错,众说纷纭。DJI的要求原本是合理的,在其他企业发起的漏洞赏金计划中,很多企业都会要求安全研究人员对他们所发现的漏洞保持沉默,比如苹果公司。但这种限制通常会在计划开始之前就会说明,DJI的做法显然有些异于寻常。

在经历Finisterre这个事件后,DJI目前已经在其漏洞赏金计划网站上明确了这项条款,并希望其他安全研究人员或团队能够选择信任DJI,参与到该计划中来。

您需要登录后才可以回帖 登录 | 注册会员

本版积分规则

关闭

站长推荐上一条 /1 下一条

小黑屋|中国黑客论坛  

GMT+8, 2018-5-25 01:45 , Processed in 1.156258 second(s), 39 queries .

快速回复 返回顶部 返回列表