2017年的 8月,大疆为了吸引安全研究人员提交公司相关漏洞,发起了一个名为“悬赏除虫”的项目。该项目采用奖励机制,是根据bug 的严重程度,参与者可获得 100 到 30000 美元不等的奖金。采用这样的机制,效果立竿见影,活动开始不久,大疆公司就得到消息称大疆的 SSL 证书和 AES 加密密钥已被公开在 GitHub 上。这个问题非常严重,涉及公司各项机密的安全问题,向该公司汇报此消息的正是一位研究人员 Kevin Finisterre,他在“悬赏除虫”项目发起不久后就立即与大疆公司进行沟通及汇报相关漏洞。证书和密钥的暴露,意味着在新密钥被创建和部署之前,当前的加密措施将形同虚设。因此,大疆公司必须尽快做出应对措施。
Finisterre 与大疆公司以该问题是否属于漏洞奖赏项目之内进行了多次沟通。在经过了长时间的电子邮件沟通之后,根据 Finisterre 对项目规则的分析,他认为自己所汇报的问题理应包含在大疆的漏洞奖赏项目之内。然而,大疆却提出了令人诧异的要求:如果想要获得金钱奖励,就必须遵守对此事严格保密的协议要求。
大疆之所以要求对方遵守保密协议,是为了防止漏洞被公开利用,但对安全研究人员来说,被认可和获得金钱奖励一样重要。
鱼与熊掌不可兼得,大疆公司的要求令 Finisterre 非常烦恼。假若要领取这笔奖金,Finisterre 不得不签署这份对他而言不公平、未对其未来的法律行动提供保护的协议。除此之外,大疆还向他发出了控告《电脑欺诈和滥用行为》的威胁(类似香港《不诚实使用电脑》),该公司的做法使 Finisterre 非常不满。于是 Finisterre 决定请求律师的帮助。
Finisterre 与多名律师联系,并与律师团队深入讨论了这件事情,商量著如何解决才是恰当的。最终,Finisterre 认为漏洞是自己的发现的,这是自己的成果,不应被人剥夺。因此,他决定放弃奖金以远离是非,并将其发现公之于众。感兴趣的网友们可以自由地阅读他披露的全部信息(PDF),并得出自己的结论。
在 Finisterre 将漏洞公开及大疆公司的行为向公众发布后,大疆也立即对该事件作出了回应,声明该黑客以不正当的手段获得数据。
大疆声明:https://www.dji.com/newsroom/news/dji-statement-on-reported-data-security-issue