北京时间11月21日午间消息,今年8月,大疆启动了漏洞奖励计划,奖励发现信息安全漏洞的研究人员。然而,这方面的工作正在给大疆带来争议。
信息安全研究员凯文·菲尼斯特尔(Kevin Finisterre)本周发布了一篇长文,讲述了他参与大疆漏洞奖励计划的糟糕经历。这篇文章随后登上了美国最主要技术讨论版Hacker News的头条。
菲尼斯特尔与合作的其他黑客共同发现了大疆网页安全的一个严重漏洞。他们获得了大疆意外发布至GitHub的SSL认证私钥,从而可以获得储存在大疆服务器上的敏感用户信息。他询问大疆,这个问题是否属于漏洞奖励的范畴,大疆做出了确认。因此,菲尼斯特尔提交了一份详细报告。大疆批准了他的申请,并提供了3万美元的最高奖金。
不过,在发给菲尼斯特尔的合同中,大疆要求他不能公开讨论工作细节,甚至不要提到他曾经为大疆从事过信息安全方面的工作。然而对类似菲尼斯特尔的研究员来说,公众认可同样很重要。在双方协商期间,大疆的法务团队发来一封邮件,威胁用《计算机欺诈和滥用法》起诉他。菲尼斯特尔认为,这是种赤裸裸的威胁。他最终决定放弃这笔奖金,并公开自己的经历。
漏洞奖励平台Bugcrowd产品副总裁乔纳桑·克兰(Jonathan Cran)对此表示,大疆应当尽快解决问题,而不是威胁采取法律行动。