如果用一個詞形容廠商與白帽子之間的關(guān)系，大概就是相愛相殺吧。

雖然多數(shù)情況廠商與這些漏洞發(fā)現(xiàn)者都保持融洽的關(guān)系，但也有不少案例是“相殺”。近期就發(fā)生了一件事，大疆和一位提供漏洞的白帽子發(fā)生爭執(zhí)，這位白帽子還直接 po 出長文掛了大疆。

白帽子 KF 的一擊直球

事情是這樣的，今年八月大疆推出了 bug bounty 項目，也就是安全響應(yīng)中心，主要面向國外的白帽子，為鼓勵他們提交漏洞大疆設(shè)置了根據(jù)問題嚴重程度從 100-30000 美元不等的獎金金額，涉及的問題包括軟件安全、飛行安全以及應(yīng)用程序穩(wěn)定性等。

雷鋒網(wǎng)從主角凱文·菲尼斯特爾（Kevin Finisterre）在推特po出的長文中了解到，Kevin 在看到這則消息后，郵件聯(lián)系了大疆了解項目包括的具體范圍，并在兩周后得到大疆回復(fù)確認他提出的漏洞在項目范圍內(nèi)。

于是 Kevin 和搭檔整理了長達 31 頁的漏洞報告，其中指出他們獲得了大疆意外發(fā)布至 GitHub 的 SSL 認證私鑰，從而可以獲得儲存在大疆服務(wù)器上的敏感用戶信息。

簡單說，由于大疆使用 Github 管理源代碼，并且沒有進行加密，導(dǎo)致部分私鑰變公鑰，諸如 SSL 密鑰、AWS Key 等密匙可以在大疆服務(wù)器下載包括飛行日志在內(nèi)的用戶資料。

更可怕的是，這些鑰匙已經(jīng)明晃晃掛在 Github 上四年了……

總之，在了解漏洞后大疆提供給 Kevin 3 萬美元的獎勵金，Kevin 還興沖沖地跑去給自己預(yù)定了一部特斯拉 Model 3。

但是，大疆對 Kevin 開出了條件，要求他簽署 NDA （保密協(xié)議）。協(xié)議包含不能公開討論工作細節(jié)，并且不能提到他曾經(jīng)為大疆從事過信息安全方面的工作，以及不能向任何第三方泄露這些漏洞的全部細節(jié)。Kevin 的長文中還提到，在雙方協(xié)商期間，大疆的法務(wù)團隊曾發(fā)給他一封郵件，威脅如果不從的話，要用《計算機欺詐和濫用法》起訴他。

▲Kevin 文中取消 Model S 預(yù)訂的截圖

Kevin 認為這是種赤裸裸的威脅，因此他最終決定放棄這筆獎金（且取消了 Model S 的預(yù)定）并公開了自己的經(jīng)歷。

附上原文鏈接：http://www.digitalmunition.com/WhyIWalkedFrom3k.pdf

大疆反勾拳

對于 Kevin 的聲明大疆則迅速反擊。

主要針對幾點內(nèi)容：

第一，Kevin 在發(fā)現(xiàn)密鑰后，沒有像其他白帽子一樣僅僅提交漏洞報告，而是利用該密鑰下載了部分數(shù)據(jù)。這屬于未經(jīng)授權(quán)入侵大疆服務(wù)器的行為，可能侵犯用戶隱私安全。

第二，與 Kevin 溝通后，其拒絕簽訂旨在保護用戶隱私的保密協(xié)議，并就大疆拒絕其要求而對大疆進行了信息安全威脅。（所以到底是誰威脅誰？）另外，大疆方面告訴雷鋒網(wǎng)，KF提出了無法滿足的要求，包括執(zhí)意要公布這一漏洞。而在談判破裂后，KF和他的朋友確實不斷在twitter上暗示自己得到了大疆的“保密數(shù)據(jù)”?！暗@無法驗證。講句不恰當?shù)脑?，KF或者是一個‘壞人’，或者是一個‘騙子’，但這都不是白帽子通常會做的事?！?/p>

第三，Kevin 就職于大疆某競爭公司 Department13，其旗下的產(chǎn)品與大疆的新型AeroScope系統(tǒng)構(gòu)成直接競爭關(guān)系。而且大疆對雷鋒網(wǎng)強烈表示，Kevin并非媒體口中的白帽子，曾經(jīng)還因為黑入 3DR 被克里斯安德森封殺了 3DR 賬號。

以下為11月16日大疆官方回應(yīng)原文：

大疆創(chuàng)新正在調(diào)查一起未經(jīng)授權(quán)入侵大疆服務(wù)器數(shù)據(jù)的信息安全事件，其中可能涉及大疆用戶所提交的個人信息。為了保障用戶數(shù)據(jù)安全，大疆已經(jīng)聘請了一家獨立的網(wǎng)絡(luò)安全公司來進行調(diào)查，確定這一入侵事件的整體風(fēng)險及帶來的影響。

今天，一位獲取了這些數(shù)據(jù)的黑客在網(wǎng)上公布了他與大疆員工的保密通信，稱其試圖獲得大疆安全響應(yīng)中心的“漏洞報告獎勵”而被駁回。 事實上，該黑客通過大疆未公開的密鑰以不當方式獲得數(shù)據(jù)，這并不符合大疆安全響應(yīng)中心的初衷與規(guī)則。

這位黑客在發(fā)現(xiàn)密鑰后，并沒有像其他白帽子一樣僅僅提交漏洞報告，而是利用該密鑰下載了部分數(shù)據(jù)。在大疆創(chuàng)新與其溝通后，他拒絕簽訂旨在保護用戶隱私的保密協(xié)議，并就大疆拒絕其要求而對大疆進行信息安全威脅。

大疆創(chuàng)新建立安全應(yīng)急響應(yīng)中心以鼓勵獨立安全研究人員提交潛在的安全漏洞，其要求研究人員遵循的標準條款旨在倡導(dǎo)負責任的漏洞披露，保證在發(fā)掘過程中能夠充分保護用戶隱私，避免造成數(shù)據(jù)泄露損害用戶利益。

大疆始終重視用戶數(shù)據(jù)安全，并誠摯感謝研究人員負責任地發(fā)掘及披露可能影響大疆用戶數(shù)據(jù)和大疆產(chǎn)品安全的技術(shù)問題，持續(xù)改進產(chǎn)品。自安全響應(yīng)中心建立以來，大疆已向十幾名同意標準條款并提交漏洞報告的安全研究人員支付了數(shù)千美元獎金。而這一項目還將繼續(xù)進行，隨著更多新漏洞報告的提交，大疆也將為更多安全研究人員支付獎金。

昨日大疆在上述聲明的基礎(chǔ)上補充了兩個信息：

該黑客就職于Department13公司。該公司旗下的產(chǎn)品與大疆的新型AeroScope系統(tǒng)構(gòu)成直接競爭關(guān)系。在大疆發(fā)布了AeroScope系統(tǒng)后，Department13的股價大幅下跌20%，跌至21個月以來的低點。

大疆高度重視客戶數(shù)據(jù)的隱私保護，并不斷采取措施提高數(shù)據(jù)的安全性。除非客戶自主選擇與大疆服務(wù)器同步飛行記錄，或?qū)⒄掌蛞曨l上傳至天空之城，或?qū)a(chǎn)品實物送至大疆進行維修，否則大疆絕不會訪問無人機飛行期間生成的飛行記錄，照片或視頻等數(shù)據(jù)。

大疆告訴雷鋒網(wǎng)，目前其已經(jīng)重新部署了私鑰。另一方面，大疆也透露截止發(fā)稿前兩天，KF 仍在嘗試用其他方法攻擊大疆不同產(chǎn)品服務(wù)器。

顯然，雙方各執(zhí)一詞。

參考來源：老鷹說（微信公眾號：joeytalks）

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。