DJI 以法律行動威脅漏洞回報者

雙方各執一詞。

Eric Chan
Eric Chan
2017年11月21日, 下午 02:30
0分享次數
八月的時候,DJI 就如其他的科技公司一樣推出了漏洞懸賞計劃,讓安全研究員能回報他們在 DJI 軟體裡的發現到的漏洞,並會按問題的嚴重性發出 100 美元至 30,000 美元作為回饋。可是根據安全研究員 Kevin Finisterre 的文章,以及 The Verge 的報導,這個懸賞計劃似乎未有一如我們預期的在運作呢。據 Finisterre 在描述他與 DJI 交涉的始末中,他在回報問題之前,曾經有向 DJI 確認過這個漏洞是否屬於懸賞計劃的範圍內,並透過這計劃提交回報,DJI 方面雖沒有即時回覆,但一段時間後也予以確認。在進一步的研究後,Finisterre 向 DJI 提交了總共 31 頁的詳細報告,裡頭有著他與其同事所找到的軟體漏洞,包括 DJI 的 SSL 憑證密鑰的漏洞 -- 這在 GitHub 上被曝光過的漏洞,可讓 Finisterre 存取到 DJI 伺服器上儲存的客戶資料。

Finisterre 在提交報告後,DJI 表示這漏洞價值 30,000 美元回饋。但隨之而來的就是一系列有關回報協議的商討過程,而且內容更集中在 Finisterre 對於這漏洞的封口令。在與不同律師討論過後,Finisterre 認為這協議是弊多於利,DJI 的目的是在於發現漏洞的人都需要在簽署協議後保持緘默。而且在 DJI 發出信件表示 Finisterre 沒有被授權存取該公司伺服器之後,他們更保留以《電腦欺詐和濫用法案》追討的權利。結果 Finisterre 放棄了這份協議。

DJI 對這次事件發出聲明,指他們要求研究者按照標準條款來參與漏洞懸賞計劃,為的是保護機密資料,和讓他們在漏洞向公眾釋出之前能有時間分析和解決問題。DJI 表示他們即使不斷嘗試談判,但認為這位黑客並不同意條款內容,並威脅需要滿足他的要求。雙方各執一詞的結果,就是讓大家都不歡而散,這也大大減少其他安全研究員在參與漏洞回報計劃時的積極性。但說真的,安全研究員想公開自己的發現,而廠商想保密,好像都是很合理的事,很難說在這種情況下誰對誰錯啊?

這種漏洞懸賞計劃在科技界是相當廣泛,SamsungApple、Twitter、Facebook,甚至暗網的黑市市場也有應用。不過要計劃行之有效,他們需要清楚闡明懸賞計劃的條款,但 DJI 最近才把有關的漏洞懸賞計劃詳情放到網站上。
標籤: apple, bugbounty, business, ComputerFraudAndAbuseAct, darknet, DJI, drone, facebook, gadgetry, gadgets, gear, samsung, security, SecurityFlaw, twitter
0分享次數