大疆 VS “白帽子”，到底谁威胁了谁？

大疆 VS “白帽子”，到底谁威胁了谁？

　　无人机民航局网站,铭传乡航拍,少年航拍如果用一个词形容厂商与白帽子之间的关系大概就是相爱相杀吧虽然多数情况厂商与这些漏洞发现者都保持融洽的关系但也有不少案例是“相杀”近期就发生了一件事大疆和一位提供漏洞的白帽子发生争执这位白帽子还直接 po 出长文挂了大疆

　　白帽子 KF 的一击直球

　　事情是这样的今年八月大疆推出了 bug bounty 项目也就是安全响应中心主要面向国外的白帽子为鼓励他们提交漏洞大疆设置了根据问题严重程度从10030000 美元不等的奖金金额涉及的问题包括软件安全、飞行安全以及应用程序稳定性等

　　雷锋网从主角凯文·菲尼斯特尔（Kevin Finisterre）在推特po出的长文中了解到Kevin 在看到这则消息后邮件联系了大疆了解项目包括的具体范围并在两周后得到大疆回复确认他提出的漏洞在项目范围内

　　于是 Kevin 和搭档整理了长达 31 页的漏洞报告其中指出他们获得了大疆意外发布至 GitHub 的 SSL 认证私钥从而可以获得储存在大疆上的敏感用户信息

　　简单说由于大疆使用 Github 管理源代码并且没有进行加密导致部分私钥变公钥诸如 SSL 密钥、AWS Key 等密匙可以在大疆服务器下载包括飞行日志在内的用户资料

　　更可怕的是这些钥匙已经明晃晃挂在 Github 上四年了……

　　总之在了解漏洞后大疆提供给 Kevin 3 万美元的奖励金Kevin 还兴冲冲地跑去给自己预定了一部特斯拉 Model 3

　　但是大疆对 Kevin 开出了条件要求他签署 NDA （保密协议）协议包含不能公开讨论工作细节并且不能提到他曾经为大疆从事过信息安全方面的工作以及不能向任何第三方泄露这些漏洞的全部细节Kevin 的长文中还提到在双方协商期间大疆的法务团队曾发给他一封邮件威胁如果不从的话要用《计算机欺诈和滥用法》起诉他

　　Kevin 认为这是种赤裸裸的威胁因此他最终决定放弃这笔奖金（且取消了 Model S 的预定）并公开了自己的经历

　　对于 Kevin 的声明大疆则迅速反击

　　第一Kevin 在发现密钥后没有像其他白帽子一样仅仅提交漏洞报告而是利用该密钥下载了部分数据这属于未经授权入侵大疆服务器的行为可能侵犯用户隐私安全

　　第二与 Kevin 沟通后其拒绝签订旨在保护用户隐私的保密协议并就大疆拒绝其要求而对大疆进行了信息安全威胁（所以到底是谁威胁谁）另外大疆方面告诉雷锋网KF提出了无法满足的要求包括执意要公布这一漏洞而在谈判破裂后KF和他的朋友确实不断在twitter上暗示自己得到了大疆的“保密数据”“但这无法验证讲句不恰当的话KF或者是一个‘坏人’或者是一个‘骗子’但这都不是白帽子通常会做的事”

　　第三Kevin 就职于大疆某竞争公司Department13其旗下的产品与大疆的新型AeroScope系统构成直接竞争关系而且大疆对雷锋网强烈表示Kevin并非媒体口中的白帽子曾经还因为黑入 3DR 被克里斯安德森封杀了 3DR 账号

　　以下为11月16日大疆官方回应原文：

　　大疆创新正在调查一起未经授权入侵大疆服务器数据的信息安全事件其中可能涉及大疆用户所提交的个人信息为了保障用户数据安全大疆已经聘请了一家独立的网络安全公司来进行调查确定这一入侵事件的整体风险及带来的影响

　　今天一位获取了这些数据的黑客在网上公布了他与大疆员工的保密通信称其试图获得大疆安全响应中心的“漏洞报告奖励”而被驳回 事实上该黑客通过大疆未公开的密钥以不当方式获得数据这并不符合大疆安全响应中心的初衷与规则

　　这位黑客在发现密钥后并没有像其他白帽子一样仅仅提交漏洞报告而是利用该密钥下载了部分数据在大疆创新与其沟通后他拒绝签订旨在保护用户隐私的保密协议并就大疆拒绝其要求而对大疆进行信息安全威胁

　　大疆创新建立安全应急响应中心以鼓励独立安全研究人员提交潜在的安全漏洞其要求研究人员遵循的标准条款旨在倡导负责任的漏洞披露保证在发掘过程中能够充分保护用户隐私避免造成数据泄露损害用户利益

　　大疆始终重视用户数据安全并诚挚感谢研究人员负责任地发掘及披露可能影响大疆用户数据和大疆产品安全的技术问题持续改进产品自安全响应中心建立以来大疆已向十几名同意标准条款并提交漏洞报告的安全研究人员支付了数千美元奖金而这一项目还将继续进行随着更多新漏洞报告的提交大疆也将为更多安全研究人员支付奖金

　　昨日大疆在上述声明的基础上补充了两个信息：

　　该黑客就职于Department13公司该公司旗下的产品与大疆的新型AeroScope系统构成直接竞争关系在大疆发布了AeroScope系统后Department13的股价大幅下跌20%跌至21个月以来的低点

　　大疆高度重视客户数据的隐私保护并不断采取措施提高数据的安全性除非客户自主选择与大疆服务器同步飞行记录或将照片或视频上传至天空之城或将产品实物送至大疆进行维修否则大疆绝不会访问无人机飞行期间生成的飞行记录照片或视频等数据

　　大疆告诉雷锋网目前其已经重新部署了私钥另一方面大疆也透露截止发稿前两天KF 仍在尝试用其他方法攻击大疆不同产品服务器