DJI 以法律行動威脅漏洞回報者

八月的時候，DJI 就如其他的科技公司一樣推出了漏洞懸賞計劃，讓安全研究員能回報他們在 DJI 軟體裡的發現到的漏洞，並會按問題的嚴重性發出 100 美元至 30,000 美元作為回饋。可是根據安全研究員 Kevin Finisterre 的文章，以及 The Verge 的報導，這個懸賞計劃似乎未有一如我們預期的在運作呢。據 Finisterre 在描述他與 DJI 交涉的始末中，他在回報問題之前，曾經有向 DJI 確認過這個漏洞是否屬於懸賞計劃的範圍內，並透過這計劃提交回報，DJI 方面雖沒有即時回覆，但一段時間後也予以確認。在進一步的研究後，Finisterre 向 DJI 提交了總共 31 頁的詳細報告，裡頭有著他與其同事所找到的軟體漏洞，包括 DJI 的 SSL 憑證密鑰的漏洞 -- 這在 GitHub 上被曝光過的漏洞，可讓 Finisterre 存取到 DJI 伺服器上儲存的客戶資料。

Finisterre 在提交報告後，DJI 表示這漏洞價值 30,000 美元回饋。但隨之而來的就是一系列有關回報協議的商討過程，而且內容更集中在 Finisterre 對於這漏洞的封口令。在與不同律師討論過後，Finisterre 認為這協議是弊多於利，DJI 的目的是在於發現漏洞的人都需要在簽署協議後保持緘默。而且在 DJI 發出信件表示 Finisterre 沒有被授權存取該公司伺服器之後，他們更保留以《電腦欺詐和濫用法案》追討的權利。結果 Finisterre 放棄了這份協議。

DJI 對這次事件發出聲明，指他們要求研究者按照標準條款來參與漏洞懸賞計劃，為的是保護機密資料，和讓他們在漏洞向公眾釋出之前能有時間分析和解決問題。DJI 表示他們即使不斷嘗試談判，但認為這位黑客並不同意條款內容，並威脅需要滿足他的要求。雙方各執一詞的結果，就是讓大家都不歡而散，這也大大減少其他安全研究員在參與漏洞回報計劃時的積極性。但說真的，安全研究員想公開自己的發現，而廠商想保密，好像都是很合理的事，很難說在這種情況下誰對誰錯啊？

這種漏洞懸賞計劃在科技界是相當廣泛，Samsung、Apple、Twitter、Facebook，甚至暗網的黑市市場也有應用。不過要計劃行之有效，他們需要清楚闡明懸賞計劃的條款，但 DJI 最近才把有關的漏洞懸賞計劃詳情放到網站上。

來源: Kevin Finisterre

經由: The Verge, Engadget