示意圖,與新聞事件無關。

一如許多科技業者仰賴外部研究人員抓臭蟲,無人機大廠大疆(DJI)8月間也舉辦了抓蟲獎勵方案。只不過有安全漏洞的研究人員表示DJI卻反過來揚言控告他
 
DJI在8月的抓蟲獎勵方案懸賞100到30,000美元給抓到DJI伺服器、硬體和app漏洞的研究人員。研究人員Kevin Finisterre在與DJI確認伺服器是否方案範疇,但未得到回音後,決定自行動工。他與其同事九月間在GitHub網站找到DJI網站SSL憑證的金鑰、韌體AES金鑰,經由這些金鑰可以直接存取DJI的許多機密資料。不僅如此,他還找到了DJI位於公開於Amazon Web Service S3雲端儲存服務的檔案夾金鑰。
 
Finisterre把這些發現做成了報告交給DJI,隨後被通知他獲得30,000美元最高獎項。不過之後進展卻急轉直下出現180度大轉彎。
 
後來DJI方面多次發信給他,首先通知他DJI伺服器並不在抓蟲獎勵方案的範疇中。接著又寄來一份比賽合約,合約條款表示不會針對研究漏洞的研究人員提供任何保護。最後他接獲來自DJI法務部門的郵件,要求他銷毁所有研究發現,否則他可能面臨DJI依據《電腦欺詐和濫用法》(Computer Fraud and Abuse Act,CFAA)對他提出告訴。最後Finisterre決定退出活動。
 
DJI發言人對媒體發出聲明表示,該公司正在調查未經授權存取DJI伺服器的行為,而取得這批資料的「駭客」卻將他和DJI員工關於本次抓蟲方案的祕密通訊貼上網路。DJI並指出,為確保資料隱私及提供分析、漏洞修補時間,該公司要求研究遵守方案的標準條款,但該駭客拒絕遵守,並反過來威脅DJI。不過並未說明如何威脅。
 
根據DJI現有抓蟲獎勵方案網站,研究範疇應排除第三方網站或服務,包括DJI應用內的第三方軟體。不過不確定這網站上線的時間點。

 


Advertisement

更多 iThome相關內容