导语:大疆无人机制造公司(DJI)在一个有奖找漏洞计划上试图隐藏被发现的漏洞

DJI drone in flight

无人机制造商大疆指控一名网络安全研究员入侵了它们的系统

Kevin Finisterre承认,他曾利用在代码分享网站Github上获取的一个被公开发布的私人秘钥,黑进了大疆的系统,并获取了一些私密的用户资料。而他侵入的这个公司,发起了一个“有奖找漏洞”计划,对能发现其系统安全漏洞的人提供最高3万美金的奖励。

大疆方面却认为Kevin Finisterre对服务器的连接显然是“不合法”的。

Finisterre表示,在系统中他能够获取的资料包括“未加密的飞行日志,护照,驾驶许可证以及个人身份证明”。

尽管一开始向Finisterre提供了奖金,大疆公司现在还是将Finisterre告上了法庭。理由是他拒绝遵守其“有奖找漏洞”计划的条款。大疆公司表示

“该计划本意是保护秘密数据,并在一些漏洞被公开之前为修复漏洞争取时间。大疆公司对数据安全十分重视,将继续提高我们产品质量,同时对致力于发现与报告可能损害大疆用户资料以及大疆产品的研究者们致谢。”

同时该公司还表明它会继续进行这个“有奖找漏洞”计划以换取关于漏洞的宝贵文档。

Finisterre作为一名自由人安全研究员,表示大疆曾试图让他签署一份有关不公开研究报告的协议。他还公布了一份来自大疆的电子邮件,内容为告知他与服务器有关的安全事项也包括在“有奖找漏洞”计划之中。

“言论自由”

Finisterre表示,大疆公司在他将报告发送后几乎一个月之后才与他确认计划的全部条款,并且他确信“这些条款将与我的利益有直接冲突,包括我的言论自由”。在他公布出的邮件中,条款中明确表示,在得到大疆公司的书面许可前,他不能公开地发布他的研究。

一般来说,安全研究者们会把他们的发现分享给公司,给这个公司一定的时间来修复这些漏洞,然后他们就会把研究报告公布出来。许多大的科技公司也都有类似的“有奖找漏洞”计划,使人们更倾向于与公司分享这些漏洞获取报酬,而不是利用这些漏洞非法牟利。

信息安全方面的专家,Surrey大学教授Alan Woodsard认为大疆的行径是“粗暴的”。他表示,“信息安全领域是一个没有政府组织,也没有核心机构及质监局来确保人们来奉公守法的混沌领域。它能合理运行全靠黑客们的道德守则与安全研究员。当一个安全问题出现时,公众有权利知晓。”

源链接

Hacking more

...