大疆漏洞奖励计划引发争议:信息安全研究员遭威胁

大疆漏洞奖励计划引发争议:信息安全研究员遭威胁
2017年11月21日 14:10 新浪科技

  新浪科技讯 北京时间11月21日午间消息,今年8月,大疆启动了漏洞奖励计划,奖励发现信息安全漏洞的研究人员。然而,这方面的工作正在给大疆带来争议。

  信息安全研究员凯文·菲尼斯特尔(Kevin Finisterre)本周发布了一篇长文,讲述了他参与大疆漏洞奖励计划的糟糕经历。这篇文章随后登上了美国最主要技术讨论版Hacker News的头条。

  菲尼斯特尔与合作的其他黑客共同发现了大疆网页安全的一个严重漏洞。他们获得了大疆意外发布至GitHub的SSL认证私钥,从而可以获得储存在大疆服务器上的敏感用户信息。他询问大疆,这个问题是否属于漏洞奖励的范畴,大疆做出了确认。因此,菲尼斯特尔提交了一份详细报告。大疆批准了他的申请,并提供了3万美元的最高奖金。

  不过,在发给菲尼斯特尔的合同中,大疆要求他不能公开讨论工作细节,甚至不要提到他曾经为大疆从事过信息安全方面的工作。然而对类似菲尼斯特尔的研究员来说,公众认可同样很重要。在双方协商期间,大疆的法务团队发来一封邮件,威胁用《计算机欺诈和滥用法》起诉他。菲尼斯特尔认为,这是种赤裸裸的威胁。他最终决定放弃这笔奖金,并公开自己的经历。

  漏洞奖励平台Bugcrowd产品副总裁乔纳桑·克兰(Jonathan Cran)对此表示,大疆应当尽快解决问题,而不是威胁采取法律行动。(李丽)

  更新:大疆目前已经就此事发出回应,该黑客通过大疆未公开的密钥以不当方式获得数据,这并不符合大疆安全响应中心的初衷与规则。

新浪科技公众号
新浪科技公众号

“掌”握科技鲜闻 (微信搜索techsina或扫描左侧二维码关注)

创事记

评论排行

科学探索

苹果汇

众测

来电聊

专题

官方微博

新浪科技 新浪数码 新浪手机 科学探索 苹果汇 新浪众测

公众号

新浪科技

新浪科技为你带来最新鲜的科技资讯

苹果汇

苹果汇为你带来最新鲜的苹果产品新闻

新浪众测

新酷产品第一时间免费试玩

新浪探索

提供最新的科学家新闻,精彩的震撼图片