大疆 VS “白帽子”，到底谁威胁了谁？

大疆 VS “白帽子”，到底谁威胁了谁？

　　航拍小车,谷雨航拍,航拍大姐如果用一个词形容厂商与白帽子之间的关系大概就是相爱相杀吧虽然多数情况厂商与这些漏洞发现者都保持融洽的关系但也有不少案例是“相杀”近期就发生了一件事大疆和一位提供漏洞的白帽子发生争执这位白帽子还直接 po 出长文挂了大疆

　　白帽子 KF 的一击直球

　　事情是这样的今年八月大疆推出了 bug bounty 项目也就是安全响应中心主要面向国外的白帽子为鼓励他们提交漏洞大疆设置了根据问题严重程度从10030000 美元不等的奖金金额涉及的问题包括软件安全、飞行安全以及应用程序稳定性等

　　雷锋网从主角凯文·菲尼斯特尔（Kevin Finisterre）在推特po出的长文中了解到Kevin 在看到这则消息后邮件联系了大疆了解项目包括的具体范围并在两周后得到大疆回复确认他提出的漏洞在项目范围内

　　于是 Kevin 和搭档整理了长达 31 页的漏洞报告其中指出他们获得了大疆意外发布至 GitHub 的 SSL 认证私钥从而可以获得储存在大疆上的敏感用户信息

　　简单说由于大疆使用 Github 管理源代码并且没有进行加密导致部分私钥变公钥诸如 SSL 密钥、AWS Key 等密匙可以在大疆服务器下载包括飞行日志在内的用户资料

　　更可怕的是这些钥匙已经明晃晃挂在 Github 上四年了……

　　总之在了解漏洞后大疆提供给 Kevin 3 万美元的奖励金Kevin 还兴冲冲地跑去给自己预定了一部特斯拉 Model 3

　　但是大疆对 Kevin 开出了条件要求他签署 NDA （保密协议）协议包含不能公开讨论工作细节并且不能提到他曾经为大疆从事过信息安全方面的工作以及不能向任何第三方泄露这些漏洞的全部细节Kevin 的长文中还提到在双方协商期间大疆的法务团队曾发给他一封邮件威胁如果不从的话要用《计算机欺诈和滥用法》起诉他

　　Kevin 认为这是种赤裸裸的威胁因此他最终决定放弃这笔奖金（且取消了 Model S 的预定）并公开了自己的经历

　　对于 Kevi