怎么看《大疆漏洞奖励计划:信息安全研究员遭威胁,决定放弃 3 万美元的漏洞赏金》
unknowfun · 2017-11-21 16:51:27 +08:00 · 9429 次点击这是一个创建于 2558 天前的主题,其中的信息可能已经有所发展或是发生改变。
简单的说就是:一个叫 Kevin Finisterre 的安全员发现了 DJI 网页安全的一个严重漏洞,获得了 DJI 意外发布至 GitHub 的 SSL 认证私钥,从而可以获得储存在 DJI 服务器上的敏感用户信息。在和 DJI 邮件沟通过程中,DJI 说可以领取奖金,但要求他不能公开讨论工作细节,甚至不要提到他曾经为 DJI 从事过信息安全方面的工作, 要领取这笔奖金,Finisterre 不得不签署这份对他而言不公平、未对其未来的法律行动提供保护的协议,Finisterre 不同意,接下来,DJI 向他发出了“计算机欺诈和滥用行为”的威胁
1: Man Finds DJI Customer Data Exposed, Gets Threat and Rejects $30K Bounty
48 条回复 • 2017-11-22 13:33:45 +08:00
 |
1
czheo 2017-11-21 17:13:40 +08:00
|
 |
2
st2udio 2017-11-21 17:29:50 +08:00
var bucketName = "static-skypixel-dbeta-me";
AWS.config.update({ accessKeyId: 'AKIAIRKNYFZBHSS2COTA', secretAccessKey: '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', region: 'us-west-2', bucket: bucketName }); 就是这段东西吗 |
 |
3
yu099 2017-11-21 17:37:19 +08:00 via Android
还在国内,没一千万,但是 dji 已经把人告进去过了。
|
 |
4
Va1n3R 2017-11-21 17:47:07 +08:00
作为一名接触了国内网络安全的小白,实在不服气。凭什么我们刷各种 SRC,各种 getshell,各种 DOS,各种注入,每个漏洞才十几元,大厂商才几百元,影响千万人的漏洞才值小几千,还要冒着被抓的风险提交漏洞(世纪佳缘)。
一个 github hacking 就价值三万了???国内企业真是对人不对事 不过国内行事特征不就是封住发现问题的人嘴巴,问题就算解决了吗 |
|
5
Va1n3R 2017-11-21 17:47:38 +08:00
还是三万$
|
 |
8
type 2017-11-21 18:54:36 +08:00
不要给厂商提交漏洞
|
 |
9
ambilight 2017-11-21 18:55:56 +08:00 via Android  1
大疆法务可不是一般地叼。。。
|
|
10
type 2017-11-21 18:56:53 +08:00 1
不要给厂商提交漏洞,看看某云的下场就知道;
|
 |
11
gdzzzyyy 2017-11-21 19:01:35 +08:00
不要瞎给厂商提 匿名先黑一黑 让很多人知道
|
 |
12
hcymk2 2017-11-21 19:03:55 +08:00 1
|
 |
15
windfarer 2017-11-21 19:15:09 +08:00 via Android
钓鱼执法么
|
 |
16
kmahyyg 2017-11-21 19:17:38 +08:00 via Android
这种就该直接黑,删库再说,还让不让白帽活的
|
 |
17
ltux 2017-11-21 20:10:17 +08:00
这不就是世纪佳缘二号嘛,亏得是在国外,要是在国内说不定这人已经进去了
|
 |
18
Angdo 2017-11-21 20:15:58 +08:00
|
 |
19
jjx 2017-11-21 20:57:49 +08:00
|
 |
20
inkedawn 2017-11-21 21:27:00 +08:00 1
“这位黑客在发现密钥后,并没有像其他白帽子一样仅仅提交漏洞报告,而是利用该密钥下载了部分数据。”
|
 |
21
terence4444 2017-11-21 21:33:13 +08:00 3
|
 |
22
cnTangLang 2017-11-21 23:19:23 +08:00
国内互联网环境和执法环境比较恶劣,从我自身的经历得出的结论:发现问题,尽量自己避免就行了,其他的行为,都有可能给自己带来不必要的麻烦,包括告知漏洞所属的企业或政府部门。
|
 |
23
vmebeh 2017-11-21 23:27:00 +08:00
公钥泄露了这么久,数据已经不值钱了吧
|
 |
24
inspiron530s 2017-11-22 00:36:41 +08:00
又一个罗生门。各说各话,真相不明
|
 |
26
SuperMild 2017-11-22 01:30:08 +08:00
我现在才看到大疆的澄清,大疆这是在给自己抹黑吧,这澄清文写得太恶心了。
|
 |
27
nodin 2017-11-22 08:37:57 +08:00 via Android
竞争对手咋了?微软、谷歌之类的还不是经常互挖漏洞,也没人进去。
|
 |
29
abclearner 2017-11-22 09:17:25 +08:00
很简单 dj 从此一生黑
|
 |
30
momocraft 2017-11-22 09:27:24 +08:00
先进技术和国企式的思想是可以共存的
|
 |
31
MrYELiex 2017-11-22 09:43:52 +08:00
要求他不能公开讨论工作细节,甚至不要提到他曾经为 DJI 从事过信息安全方面的工作
没觉得有什么问题有什么不公平 你不签鬼知道你后面还要拿来干什么 毕竟是敏感漏洞 |
|
32
type 2017-11-22 10:00:50 +08:00
解决提出问题的人,这不是一贯的思路么?
|
|
33
SuperMild 2017-11-22 10:08:47 +08:00 via iPhone
@MrYELiex 问题是小哥找四个律师看过说不能签,他不能透露文件内容,但是大疆可以,如果文件没问题,大疆完全应该发出来让大家看看,然而大疆不仅没有,对这件事的过程一句话都没有说,反而全文抹黑对方。
|
 |
34
qsnow6 2017-11-22 10:15:28 +08:00
别说了,DJI 的澄清文写得跟屎一样,转移视线;攻击是竞争对手员工的身份,这不符合罗伯特议事规则
|
 |
35
jccg90 2017-11-22 10:15:35 +08:00
哈,本质上就是认罪书,签完就抓人。。。之前被抓的好像就是这种套路
|
 |
36
abcbuzhiming 2017-11-22 10:16:52 +08:00 1
@terence4444 法律可不管你是试验还是干什么,你发现了漏洞并接触了不被授权接触的数据,别人就可以告你违法,这就是为啥白帽子在国内很艰难的原因,因为你说你发现了漏洞?你不去试试你怎么知道漏洞是不是存在,你一试,哪怕下载了一个字节,你就违法了,因为在授权商这些数据你无权接触,这其实就是为啥乌云挂掉的原因。法律上的解决安全问题的思路是“禁止任何人接触不被授权接触的数据”;而技术人员的思路是“验证一下漏洞然后尽量修复”。这是存在本质冲突的,所以我强烈的不建议各位自己去搞什么安全行业,除非你在大的安全厂
|
|
37
terence4444 2017-11-22 10:48:08 +08:00 via iPhone
@abcbuzhiming 所以这件事情要用国内法律解决,因为 DJI 是一个中国公司吗?
|
 |
38
helica 2017-11-22 10:54:09 +08:00 via iPhone
中国有句老话,叫…
|
 |
39
Zzzzzzzzz 2017-11-22 11:05:09 +08:00
@yanzixuan 它在航模圈形象从来没好过, 口碑好的只是产品, 5000 以上无竞品是事实.....
@terence4444 大部分国家都这样, 盲扫端口就属于 illegal 了, webpy 作者还不是去下了一堆未被授权的东西被搞到自杀, 只不过大家看到的都是拿了公开悬赏漏洞大厂银子的白帽子的风光, 忘了这行当本来就是行走在河边的 |
|
40
SuperMild 2017-11-22 11:08:10 +08:00
随意搜索了一下,貌似 DJI 选择在国内起诉也可以,但即使胜诉也不能跨国执法,只是那小哥以后不能来中国了。
|
 |
41
QQ2171775959 2017-11-22 11:12:11 +08:00
法律可不管你是试验还是干什么,你发现了漏洞并接触了不被授权接触的数据,别人就可以告你违法,这就是为啥白帽子在国内很艰难的原因,因为你说你发现了漏洞?你不去试试你怎么知道漏洞是不是存在,你一试,哪怕下载了一个字节,你就违法了,因为在授权商这些数据你无权接触,这其实就是为啥乌云挂掉的原因。法律上的解决安全问题的思路是“禁止任何人接触不被授权接触的数据”;而技术人员的思路是“验证一下漏洞然后尽量修复”。这是存在本质冲突的,所以我强烈的不建议各位自己去搞什么安全行业,除非你在大的安全厂 说得太好了。。。
|
|
42
abcbuzhiming 2017-11-22 11:12:20 +08:00
@terence4444 不,你弄错了一件事情,实际上,这不是中国还是外国的问题,外国的法律也是这么定的,法律解决问题的思路和技术人员解决问题的思路完全不一样,只不过你可以认为外国资本发展这么多年,野蛮时代已经过去了,所以在这个问题上态度比国内温和而已。实际上,哪国的法律都是这么定的:计算机的漏洞就像别人家的门忘记锁了,就算你看见了,你也不能进去,你说我要进去拿一个字节验证一下,对不起,你犯法,剩下的就是我告不告你的问题了
|
 |
43
deeporist 2017-11-22 11:18:58 +08:00
扶老人 交漏洞
|
|
44
terence4444 2017-11-22 11:45:34 +08:00
@abcbuzhiming
规定是这样没错,这种事情算是刑事还是民事,刑事的话是自诉还是公诉,不知在各个国家是怎么规定的。 一般国外的公司不会轻易威胁或起诉报告漏洞的人员,这样会造成什么后果大家都知道,而且即使起诉也不会派警察去抓人,而且会有一个庭审的过程。所以我觉得把国内的情况套用到国外并不合适。 DJI 事件当事人也是咨询了四个律师以后才决定放弃奖金,DJI 也不会去起诉他,这要是放国内的话早就被抓起来了吧。 |
 |
45
ayang23 2017-11-22 12:08:22 +08:00
这样也挺好,把提交漏洞这条路堵死后,搞漏洞的就只能使劲搞他或者去黑市卖掉让别人搞了。
|
 |
46
uan 2017-11-22 12:11:10 +08:00
这要是放国内的话早就被抓起来了吧
|
 |
47
mayne95 2017-11-22 13:12:56 +08:00 via Android
@ayang23 最后的受害者还是用户,隐私泄露,各种骚扰诈骗,仿佛被强奸。厂商没能力保护数据,又非要实名
|
 |
48
cisisustring 2017-11-22 13:33:45 +08:00 via Android
以后发现漏洞,直接卖给第三方就好了。
|
Select Language