大疆 VS “白帽子”,到底谁威胁了谁?
如果用一个词形容厂商与白帽子之间的关系,大概就是相爱相杀吧。
虽然多数情况厂商与这些漏洞发现者都保持融洽的关系,但也有不少案例是“相杀”。近期就发生了一件事,大疆和一位提供漏洞的白帽子发生争执,这位白帽子还直接 po出长文挂了大疆。
白帽子 KF 的一击直球
事情是这样的,今年八月大疆推出了 bug bounty 项目,也就是安全响应中心,主要面向国外的白帽子,为鼓励他们提交漏洞大疆设置了根据问题严重程度从100-30000 美元不等的奖金金额,涉及的问题包括软件安全、飞行安全以及应用程序稳定性等。
从主角凯文·菲尼斯特尔(Kevin Finisterre)在推特po出的长文中了解到,Kevin在看到这则消息后,邮件联系了大疆了解项目包括的具体范围,并在两周后得到大疆回复确认他提出的漏洞在项目范围内。
于是 Kevin 和搭档整理了长达 31 页的漏洞报告,其中指出他们获得了大疆意外发布至 GitHub 的 SSL认证私钥,从而可以获得储存在大疆服务器上的敏感用户信息。
简单说,由于大疆使用 Github 管理源代码,并且没有进行加密,导致部分私钥变公钥,诸如 SSL 密钥、AWS Key等密匙可以在大疆服务器下载包括飞行日志在内的用户资料。
更可怕的是,这些钥匙已经明晃晃挂在 Github 上四年了……
总之,在了解漏洞后大疆提供给 Kevin 3 万美元的奖励金,Kevin 还兴冲冲地跑去给自己预定了一部特斯拉 Model 3。
但是,大疆对 Kevin 开出了条件, 要求他签署 NDA (保密协议)。协议包含不能公开讨论工作细节,并且不能提到他曾经为大疆从事过信息安全方面的工作,以及不能向任何第三方泄露这些漏洞的全部细节。Kevin 的长文中还提到,在双方协商期间,大疆的法务团队曾发给他一封邮件,威胁如果不从的话,要用《计算机欺诈和滥用法》起诉他。
▲Kevin 文中取消 Model S 预订的截图
Kevin 认为这是种赤裸裸的威胁,因此他最终决定放弃这笔奖金(且取消了 Model S 的预定)并公开了自己的经历。
附上原文链接:http://www.digitalmunition.com/WhyIWalkedFrom3k.pdf
大疆反勾拳
对于 Kevin 的声明大疆则迅速反击。
主要针对几点内容:
第一,Kevin在发现密钥后,没有像其他白帽子一样仅仅提交漏洞报告,而是利用该密钥下载了部分数据。这属于未经授权入侵大疆服务器的行为,可能侵犯用户隐私安全。
第二,与 Kevin沟通后,其拒绝签订旨在保护用户隐私的保密协议,并就大疆拒绝其要求而对大疆进行了信息安全威胁。(所以到底是谁威胁谁?)另外,大疆方面告诉,KF提出了无法满足的要求,包括执意要公布这一漏洞。而在谈判破裂后,KF和他的朋友确实不断在twitter上暗示自己得到了大疆的“保密数据”。“但这无法验证。讲句不恰当的话,KF或者是一个‘坏人’,或者是一个‘骗子’,但这都不是白帽子通常会做的事。”
第三,Kevin 就职于大疆某竞争公司 Department13,其旗下的产品与大疆的新型AeroScope系统构成直接竞争关系。而且大疆对强烈表示,Kevin并非媒体口中的白帽子,曾经还因为黑入 3DR 被克里斯安德森封杀了 3DR 账号。
以下为11月16日大疆官方回应原文:
大疆创新正在调查一起未经授权入侵大疆服务器数据的信息安全事件,其中可能涉及大疆用户所提交的个人信息。为了保障用户数据安全,大疆已经聘请了一家独立的网络安全公司来进行调查,确定这一入侵事件的整体风险及带来的影响。
今天,一位获取了这些数据的黑客在网上公布了他与大疆员工的保密通信,称其试图获得大疆安全响应中心的“漏洞报告奖励”而被驳回。事实上,该黑客通过大疆未公开的密钥以不当方式获得数据,这并不符合大疆安全响应中心的初衷与规则。
这位黑客在发现密钥后,并没有像其他白帽子一样仅仅提交漏洞报告,而是利用该密钥下载了部分数据。在大疆创新与其沟通后,他拒绝签订旨在保护用户隐私的保密协议,并就大疆拒绝其要求而对大疆进行信息安全威胁。
大疆创新建立安全应急响应中心以鼓励独立安全研究人员提交潜在的安全漏洞,其要求研究人员遵循的标准条款旨在倡导负责任的漏洞披露,保证在发掘过程中能够充分保护用户隐私,避免造成数据泄露损害用户利益。
大疆始终重视用户数据安全,并诚挚感谢研究人员负责任地发掘及披露可能影响大疆用户数据和大疆产品安全的技术问题,持续改进产品。自安全响应中心建立以来,大疆已向十几名同意标准条款并提交漏洞报告的安全研究人员支付了数千美元奖金。而这一项目还将继续进行,随着更多新漏洞报告的提交,大疆也将为更多安全研究人员支付奖金。
昨日大疆在上述声明的基础上补充了两个信息:
该黑客就职于Department13公司。该公司旗下的产品与大疆的新型AeroScope系统构成直接竞争关系。在大疆发布了AeroScope系统后,Department13的股价大幅下跌20%,跌至21个月以来的低点。
大疆高度重视客户数据的隐私保护,并不断采取措施提高数据的安全性。除非客户自主选择与大疆服务器同步飞行记录,或将照片或视频上传至天空之城,或将产品实物送至大疆进行维修,否则大疆绝不会访问无人机飞行期间生成的飞行记录,照片或视频等数据。
大疆告诉,目前其已经重新部署了私钥。另一方面,大疆也透露截止发稿前两天,KF 仍在尝试用其他方法攻击大疆不同产品服务器。
显然,双方各执一词。
推荐系统
番茄花园 Windows 10 极速企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10新萝卜家园电脑城专用系统 Windows10 x86 企业版 版本1507 2022年7月(32位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(64位) 提供下载
语言:中文版系统大小:3.98GB系统类型:Win10雨林木风 Windows10 x64 企业装机版 版本1903 2022年7月(64位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10深度技术 Windows 10 x64 企业版 电脑城装机版 版本1903 2022年7月(64位) 高速下载
语言:中文版系统大小:3.98GB系统类型:Win10电脑公司 装机专用系统Windows10 x64 企业版2022年7月(64位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10新雨林木风 Windows10 x86 企业装机版2022年7月(32位) ISO镜像高速下载
语言:中文版系统大小:3.15GB系统类型:Win10
相关文章
- 美国司法部警告:网络犯罪分子正在利用疫苗调查和钓鱼工具窃取用户个人信息
- 春运怎么快速抢火车票 春运火车网络抢票攻略【详解】
- WPA3 加密来了!对各种炫酷的 IOT 设备能放心的使用吗?
- 微软正式收购网络安全公司RiskIQ,传交易额超5亿美元
- 微信群二维码有效期是多少?
- 选购XDR之前要关注这些问题
- 后疫情时代,中国企业数据保护面临多少威胁?
- 微软发布Fix it工具修复IE7/8/9漏洞 ie用户请尽快修复(0day漏洞)
- 在Win7电脑中,U盘无法安全退出怎么办?
- 慧荣就 SSD 主控藏后门传言回应:绝无所提及之风险
- oki打印机驱动安装图解
- 如何利用云备份抵御勒索软件
- 科学家发现26个USB漏洞:Linux有18个 Windows有4个
- 安全策略怎么打开 win7和win8安全策略设置教程
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
- 2雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
- 3深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
- 4电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
- 5深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载
- 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
- 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
- 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
- 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
热门文章
常用系统
- 1电脑公司Ghost Win8.1 x32 精选纯净版2018年4月(免激活) ISO镜像快速下载
- 2雨林木风 Ghost Win7 SP1 喜迎国庆 装机版 2020年10月(32位) 提供下载
- 3番茄花园 Ghost Win7 x64 SP1 极速装机版2018年7月(64位) ISO镜像快速下载
- 4新雨林木风 Windows10 x86 企业装机版2019年11月(32位) ISO镜像高速下载
- 5笔记本系统Ghost Win8.1 (32位) 极速纯净版2019年5月(免激活) ISO镜像高速下载
- 6新雨林木风 Ghost Win7 SP1 装机专业版 2018年7月(32位)ISO镜像下载
- 7新萝卜家园Ghost Win8.1 X64位 纯净版2021年10月(自动激活) ISO镜像高费下载
- 8番茄花园GhostWin7 SP1电脑城极速装机版2020年11月(32位) 最新高速下载
- 9新萝卜家园电脑城专用系统 Windows10 x86 企业版2021年12月(32位) ISO镜像高速下载
- 10联想笔记本&台式机专用系统GhostWin7Sp1旗舰版2018年4月(32位) 提供下载