这是一个创建于 2557 天前的主题,其中的信息可能已经有所发展或是发生改变。
http://www.cnbeta.com/articles/soft/672415.htm (无责任贴链接)
老话题,公司的代码不要发布到公开的地方,老代码也是公司的财产。公开发布的代码要清除敏感信息。
还记得坚果 Pro 的数据泄露么?
第 1 条附言 · 2017-11-22 10:31:53 +08:00
大疆回应用户数据隐私泄露纠纷:已聘请安全公司调查
http://tech.sina.com.cn/n/k/2017-11-21/doc-ifynvxeh5576881.shtml
 |
1
czheo 2017-11-21 16:56:59 +08:00  27
看了下小哥的 PDF,基本事情是:
1. 大疆举行有奖活动,让人找 bug。 2. 小哥发现了 Github 上面有大疆的 aws 私钥。 3. 小哥用私钥登陆了大疆 aws 服务器,发现里面存了很多个人信息,包括护照身份证驾照什么的。 4. 小哥把这个发现写到了报告里面。 5. 大疆工程师回邮件说小哥这是重大发现,可以拿到头奖 3 万刀。 6. 小哥和大疆联系怎么领奖,但大疆要小哥签署的领奖协议里面有很多的条文小哥觉得写得不合理,联系多次希望修改。 7. 期间,大疆法务部发来通知说,我发现你写的报告里面的行为属于非法入侵我们的服务器,如果不好好配合,我们保留采取法律措施的权利。 8. 小哥觉得领个奖大疆怎么这么事儿妈,浪费他时间,虽然他本来想拿 3 万刀买个特斯拉 model x,但想想还是索性不领了。 感想:真是不为五斗米折腰啊。 |
 |
2
Showfom 2017-11-21 17:01:28 +08:00 1
只能呵呵了
|
 |
3
codeeer 2017-11-21 17:04:18 +08:00 via iPhone
这吃相
|
 |
4
cuebyte 2017-11-21 17:04:41 +08:00
數據庫裡存這些私人信息犯法麼?
|
 |
5
AltairT 2017-11-21 17:06:20 +08:00 via iPhone 6
又想把白帽子关进去,这下呵呵了😏
|
 |
6
swulling 2017-11-21 17:08:02 +08:00 via iPhone 2
钓鱼起诉,谁来领奖就地摁倒
|
 |
7
f2f2f 2017-11-21 17:11:51 +08:00
我怎么觉得两边吃相都很难看呢
大疆是典型国内办事风气:能遮就遮 能掩则掩 那位小哥则是当个 X 子顺带还想立个牌坊? |
 |
9
Shura 2017-11-21 17:16:08 +08:00 6
我想到世纪佳缘那个案例了,国内企业很善于直接让人消失,从根源解决问题啊。
|
|
12
Shura 2017-11-21 17:21:44 +08:00 2
@swulling 你没理解你楼上的吃不到葡萄说葡萄酸的心理吗?除此之外,我实在找不到他认为 Kevin Finisterre 吃香难看的理由了。别人为了名声,放弃奖励,这怎么就吃相难看了?
|
 |
13
songjiaxin2008 2017-11-21 17:22:07 +08:00
丢人丢到国外去了。。
|
 |
14
coderluan 2017-11-21 17:23:13 +08:00 via Android 11
@f2f2f 我建议你解释说明一下,这个言论不是”我觉得”就能支撑的,否则大家也就凭感觉骂你了。
|
 |
15
imnpc 2017-11-21 17:24:48 +08:00 6
双 11 的时候发现某云的计费 bug
没敢上报 我记得以前有过前例 报漏洞被送进去 |
 |
16
md5 2017-11-21 17:24:48 +08:00 via Android 16
大疆损失名誉,白帽丢了奖金。
算是双输吧。 啊,与其相信乌云,不如听信谣言。 |
 |
18
terence4444 2017-11-21 17:26:25 +08:00 via iPhone
要在国内早就被抓起来了。
DJI 吃相太难看,不过安全人员直接公开也有点不是太好,如果给一个限期:我不要钱不签协议,明确告诉 DJI 10 天后公开? |
 |
20
580a388da131 2017-11-21 17:31:55 +08:00
单纯讲法律白帽子貌似确实有风险?
|
 |
21
feng1234 2017-11-21 17:37:46 +08:00 1
乌云那帮人现在还被关着呢,都关押超过一年了,没任何消息
|
 |
23
sammo 2017-11-21 17:41:54 +08:00 via iPhone 3
白帽没有任何损失,大疆丢人又输球。哪里是双输?
|
 |
24
u5f20u98de 2017-11-21 17:42:46 +08:00 3
@imnpc 单纯报个漏洞是没问题的,但是如果有下面的问题就容易进去
1.大量的获取用户数据 2.厂商没修复,就对外披露细节 3.没有点到为止,继续深入了 如果某云指的是阿里云是有官方的两个渠道报送的,一个是先知一个就是阿里的 SRC 乌云那个进去的不是 sqlmap 没刹住碰到了用户数据,就是原本就是有恶意行为感觉可能暴露了就想去提交乌云洗白 要是报告漏洞就抓进去……那我都提交了十几家 SRC 了也没人来查我水表 |
 |
26
radiolover 2017-11-21 17:46:49 +08:00
@f2f2f 我们是中国人,有我们自己的风俗习惯和江湖规矩,别动不动就欧美那套迂腐的价值观和思维方式。
|
 |
27
l00t 2017-11-21 17:48:05 +08:00 1
DJI 这法务有趣。人家不用这个私钥登录一下怎么知道这个能不能用,是不是真实的。人家一登录,那又是"非法入侵"…… 这还报个屁的漏洞啊。
|
 |
28
VYSE 2017-11-21 17:50:33 +08:00
几天前看了他半天 blog 没看懂...法务的太难理解
|
 |
29
misaka19000 2017-11-21 18:03:07 +08:00
国内公司都这 b 样,已经习惯了
|
 |
30
hit410 2017-11-21 18:03:26 +08:00 via Android
@radiolover 吸吸,这句话还真是熟悉。中国怎么样只有中国人知道,外国人不要指手画脚。
|
 |
31
SuperMild 2017-11-21 18:13:26 +08:00 2
小哥真够小心的,签字前会找律师看。
> I of course still needed to have a lawyer review the terms, even if they were DJI ’ s final offer. In the days following no less than 4 lawyers told me in various ways that the agreement was not only extremely risky, but was likely crafted in bad faith to silence anyone that signed it. |
|
32
SuperMild 2017-11-21 18:18:54 +08:00 2
@sammo 那小哥也浪费了很多时间精力了,按正常时薪算也是一笔钱,另外还要花钱请律师看文件,最后还要坏了心情生气。
|
 |
33
mdzz 2017-11-21 18:22:34 +08:00 2
帖个旧文:《关于“白帽子”的法律和道理》 https://weibo.com/ttarticle/p/show?id=2309403990297423046605
|
 |
34
nodin 2017-11-21 18:24:15 +08:00 via Android
这些企业可以出来卖,你们可以当恩客,但你们不能说出来。
|
 |
35
crab 2017-11-21 18:39:32 +08:00
@u5f20u98de 那要是碰了数据的,是不是永远不能主动提交了啊。T_T
|
 |
36
Kirscheis 2017-11-21 18:45:40 +08:00
dji 一个硬件公司强行互联网,漏洞多得一批我会乱说吗...... 然而乌云之后,还给国内公司报漏洞的,智力怕是<μ-3σ。这也还好人家是在国外,操作起来没那么方便,最多浪费点时间。
中国有句古话,()才是坠吼的。作为个人,实在没必要去和大公司法务这种阴险的部门搅在一起。 |
|
37
u5f20u98de 2017-11-21 18:48:44 +08:00
@crab 不是故意的大量的数据也碰不到吧?比如发现 SQL 注入就跑个表名或者库名就打住,越权的漏洞弄个十几条意思意思,真到要判刑对与一般单位起码都是几百条的这个数量级。还有对与没有 SRC 的企业不要乱碰,有 SRC 的按着他们的规矩来,闷声发大财才是最好的。
|
 |
38
x86 2017-11-21 19:20:38 +08:00
3 万刀买个特斯拉 model x。。。
|
 |
39
mywaiting 2017-11-21 19:28:43 +08:00
把全部把数据导下来黑市倒卖怎么也不止这点钱啊,闷声发财得了,又不是不知道国内这些企业的德性
|
|
41
f2f2f 2017-11-21 19:56:19 +08:00
算了 不发表意见了。程序猿都惹不起,当我什么都没说
|
 |
42
jeffersonpig 2017-11-21 20:12:14 +08:00
@x86 我的关注点也在这 3W 刀……
|
 |
43
qqmishi 2017-11-21 20:16:38 +08:00 3
我一直觉得发现国内公司的漏洞就应该直接转手卖掉,然后再公布出来,有名有利没风险
|
 |
45
hoythan 2017-11-21 20:28:58 +08:00 via Android
三万刀怕是只能买车电池
|
|
46
terence4444 2017-11-21 20:31:21 +08:00 via iPhone
@f2f2f DJI 发表公告了,并没有说漏洞发现人有什么问题,之前也看不出有什么问题,你的嘴的确是硬。
|
|
48
f2f2f 2017-11-21 20:35:01 +08:00
@terence4444 我也没说人有问题啊,就事论事我觉得吃相不好看,然后你们被某层带个节奏就认为我是针对老外的人品了?
|
|
49
terence4444 2017-11-21 20:42:31 +08:00 via iPhone
@f2f2f 没有一点理由就称“当 X 子立牌坊”,过后还怪别人理解不对,现在还是认为被带了节奏,错的永远是别人。
|
|
50
f2f2f 2017-11-21 21:17:22 +08:00
@terence4444 没有理由?那好,我问你,你能说老外不是因为大疆设立了奖金而把漏洞挖出来的么?如果大疆没设保密条件,那么这是一场完美的交易,大疆修了一个漏洞,老外拿走一笔钱。那么现在只是因为多出来的这个条件没法满足老外所谓“公开展示”的“目的”,然后反悔。这么一个 deal,要是觉得不能接受,那么可以,你可以选择把大疆告了,或者直接转手给黑产,也不会有大疆后面的这么一出。说重了不是立牌坊是什么。
当然对整个事情,两边都有自己的小九九,大疆想自己玩自己的,老外也开了自己的条件。现在因为两边互不满足而开撕。这吃相好看? |
|
51
f2f2f 2017-11-21 21:25:07 +08:00
@terence4444
via ithome.com/html/it/335403.htm 这位黑客在发现密钥后,并没有像其他白帽子一样仅仅提交漏洞报告,而是利用该密钥下载了部分数据。在大疆创新与其沟通后,他拒绝签订旨在保护用户隐私的保密协议,并就大疆拒绝其要求而对大疆进行信息安全威胁 这算是迟到的理由么? |
|
52
terence4444 2017-11-21 21:27:59 +08:00
|
|
53
f2f2f 2017-11-21 21:33:23 +08:00
@terence4444 说实话我也震惊了,“转手黑产”和“告了大疆”是并列,那你为何不把你的话换成:“想出名”比“告了大疆”要恶劣?
另外你们眼中的“白帽”是雇佣的,可能人家公司法务也不傻,对吧?干事总归要滴水不漏才不能被对方抓住把柄? |
|
54
terence4444 2017-11-21 21:43:46 +08:00
@f2f2f 别震惊了,问问你自己为什么把它们并列写在一起,现在又来反问转移焦点。还好帖子不能编辑,你的“转移给黑产说”就如同你的想法已经在你的几个回复之中表露无疑,无论怎么修饰都没有用的。
公司法务要保护自己的利益是不傻,但是你我都不傻,面对完全不顾别人的利益搬不平等条约,别人为什么要鸟你? 发现密钥以后,需要试一下才知道是不是有效。下载了部分数据到底是多少条?是试验目的还是拖库,DJI 也没有说明。也给别人戴上了“黑客”的帽子。 我觉得再和你无休止地搞下去也不会有结果,还是 block 了吧。 上面那段文字也不是写给你看的,而是写给其他看客看的,我也不希望我们的对话变得冗长又无聊,毁掉别人对这个帖子的兴趣。 我也建议其他准备回复你的人,注意不要陷入个人骂战,或者是被带到“转手黑产”和“告了大疆”之类的沟里去,还是需要以这件事情为核心讨论。 |
 |
55
hxndg 2017-11-21 23:00:37 +08:00 via Android
|
 |
58
istark 2017-11-21 23:37:52 +08:00
像乌云这种应该去国外发展,国内你跟他讲道理,他跟你讲法律,你跟他讲法律,他跟你讲权力,到头来白忙一场,国内吃相这么难看,有 bug,要么捞,要么走,绝不要说出来。
|
|
59
f2f2f 2017-11-21 23:53:36 +08:00
@hxndg 我承认措辞不当,给一些人带来了困扰。但我没有想到我的“相左”观点会因为不恰当得比喻而被一群站“右”的给批判一通。尤其是某层添油加醋说了一句我这是吃不到葡萄说葡萄酸。
这件事,你们觉得小哥没问题,ok。我也就是表达我的观点。虽然立牌坊这短语不好听,但是在我观点来看是符合我对小哥这次行为的描述的。尤其是后面爆出他是竞争公司雇佣的(虽然只是大疆单方面说辞) 抛开后面大疆的声明,就对事情前半段讨论下: 首先,整个事件无非就是一个商业公司私底下搞了一个活动给出了个 deal,然后因为和小哥对这个 deal 没谈拢,公司就钻了活动“最终解释权”的空子拒绝小哥,然后小哥很不爽就把事情捅出去去了。 大疆有问题吗?有,我观点里表达的很清楚。 那小哥有问题吗?我觉得也有啊:首先,漏洞关乎商业机密以及隐私安全,大疆提出的签一份保密协议,我觉得本身没什么问题,做安全的,这点良心总该得有吧?其次,既然小哥觉得这份协议内容限制了他展示自己技术实力的自由,大疆私自修改游戏规则,是违约行为,那也没问题,直接法庭上见咯。至少大疆和小哥契约关系总是存在的吧?这又不是小哥义务给大疆找漏洞。再者,真要秀技术,不在乎这点钱的,早就给你漏洞扒出来细节发网上了,还要等到你大疆宣布搞个漏洞悬赏活动的那一天? 联想到之前 Google Security Team 好几次都在 Microsoft 修补之前就把人家的漏洞细节发出来了,那才叫牛。你说这 Google 向 Microsoft 要过钱没要到呢,还是 Microsoft 搞了类似活动让 Google 参加结果不给人家钱了?貌似都不是吧? 这就是让我觉得小哥立牌坊的原因。当然,可能是说太重了。小哥只是单纯地要了份技术自由没要到而已。 前面有几位非得让我给出理由,现在我给了,你要继续说我嘴硬也好狡辩也罢我也懒得理了,因为关于这个讨论没必要深究下去,大家把理说死就太没意思了。 |
 |
60
Quaintjade 2017-11-21 23:55:18 +08:00 1
@f2f2f
所以在你眼中这就是个大疆出钱买漏洞私了的交易?那么大疆打着“悬赏除虫”的名号才是当 X 子立牌坊,应该叫做“公关封口费”才对。 同时,看了大疆的声明再看看小哥的叙述,看看他(以及 4 个律师)为什么拒签大疆号称的“旨在保护用户隐私的保密协议”。 https://regmedia.co.uk/2017/11/16/whyiwalkedfrom3k.pdf |
 |
61
Zarky 2017-11-21 23:59:55 +08:00 via iPhone
Model X 只要三万刀哦
|
 |
62
just1 2017-11-22 00:23:44 +08:00 via Android
这跟封口费性质一样?
悬赏是众测,应该遵守厂商要求,不将漏洞内容披露。 你未授权下载了用户数据,这就是违法的,如果你签订了协议,可以认为你是授权审查,你不签订并将其漏洞内容公开,呵呵,法务部门不找你才怪。 |
|
63
Quaintjade 2017-11-22 00:32:13 +08:00
@just1
问题是大疆在发起悬赏的时候并没有注明具体要求,等到别人提供了报告之后才拿出协议要求别人签订,而且还是胡萝卜加大棒,和封口费性质没多大区别。 |
 |
64
mazyi 2017-11-22 00:34:12 +08:00 via iPhone
讲道理,闷声发大财大家可是学了快 20 年了呀,国外可是灯塔啊,没那么快,川普上台之后才开始好好学啊。
|
|
65
SuperMild 2017-11-22 01:07:50 +08:00
|
 |
66
SoraneKazehana 2017-11-22 01:16:53 +08:00
国内公司不都这个尿性吗?上次乌云,这次大疆,大疆还是自己花钱给自己查 BUG 吧
搞什么大赛,反正查出来了送你吃牢饭,奖金都不用给了 |
 |
68
tyrealgray 2017-11-22 03:18:51 +08:00 2
看到楼上有人选择相信大疆,然后黑这位国际友人的。我觉得真的是活在梦里。
国内发生这种事情多少次了。 大疆如果二话不说给钱修复 bug,屁事没有,还会有后面这出? |
 |
69
xsd3169 2017-11-22 07:57:27 +08:00
@tyrealgray +1.
和世纪佳缘性质差不多。 |
 |
71
mydns 2017-11-22 08:28:43 +08:00
解决了找到问题的人
|
 |
72
northisland 2017-11-22 08:38:43 +08:00 via iPhone
|
|
73
northisland 2017-11-22 08:39:13 +08:00 via iPhone
辣鸡大疆
|
 |
74
standin000 2017-11-22 09:10:33 +08:00
真的是丢人丢到国外了
|
 |
75
reechang 2017-11-22 09:13:07 +08:00 via Android
大疆还说通过未公开的私钥.....
你 tmd 上传在 github 上给全世界程序员看还未公开.... 真不知道把私钥上传到 github 的人是怎么想的 |
 |
76
sadaharu09 2017-11-22 09:15:07 +08:00 via iPhone
私钥上传 Github 是咋回事?
|
 |
77
hzwjz 2017-11-22 09:21:57 +08:00 via Android
hacker news 上面源 PDF 来着
|
 |
78
cllvking 2017-11-22 09:30:33 +08:00
钓鱼执法?
|
 |
79
kulove 2017-11-22 09:35:49 +08:00
想想如果是国人提交这个漏洞...
|
 |
80
gleymonkey 2017-11-22 09:43:07 +08:00
然后大疆发现丢数据了,这哥们成头号嫌疑人了。
|
|
82
SoraneKazehana 2017-11-22 10:19:17 +08:00
@SoraneKazehana #66 纠正一下,上次世纪佳缘,这次大疆,半夜回复脑子不太清醒
|
 |
83
UnknownR 2017-11-22 10:20:05 +08:00
小哥的后面做法让自己险入了被动,被人抓话柄,不然就是稳赢的局面
|
 |
84
kmahyyg 2017-11-22 10:48:02 +08:00 via Android 1
看了楼上所有,我觉得小哥有理,万一 dji 传了个废弃的 key 到 github 上,这个漏洞还存在?肯定不存在了,那后面就没有意义了。
存在,那就检查 key 的 access,然而居然是 full access ………我只能说国内企业吃相太难看 |
 |
85
ziwu 2017-11-22 10:54:54 +08:00
领奖条件要签署某协议,是一开始忘了说还是故意没说;一签署领奖附加协议,就得公布自己的真实地址姓名,幸好是国外,国内的那不得局子里了,怕是奖金没拿到,人跑不了了
|
 |
86
Hozzz 2017-11-22 11:43:47 +08:00
让我想起了世纪佳缘的那位神童...真是世风日下。
|
 |
87
o0 2017-11-22 12:24:38 +08:00 via iPhone
脱裤或者转卖吧,他们就是闲的
|
 |
88
imn1 2017-11-22 12:25:59 +08:00 1
这件事,包括本帖的争执,都是东西方思维(价值观)不同
根源就在于,把别人的问题公布出来对不对 东方思维是揭别人家丑是不道德的,西方则视乎这个“丑”是否仅仅是私事,例如“莱温斯基的裙子” 楼上某位和 DIJ 的思维都是“公告是不对”的 如果没有这样的前提,那么无论他是否同意获得奖励,都不存在吃相难看的问题 得不到利益就披露,认为这是因果关系且属于不当行为,其实仅适用于隐私方面 如果不管如何都一定会披露,顺带获得利益(合法的),这个利益,并不是披露与否的条件,有问题么? 想起当年,新西兰在通过外交途径通知了奶粉问题后,然后自己公告了 而另一方,却是希望仅仅是知照,自行解决,被公告了感到很不爽…… |
 |
89
loading 2017-11-22 12:43:08 +08:00 via Android
我觉得,已经脱裤,卖了过了。
|
 |
90
mikulch 2017-11-22 13:57:40 +08:00
@radiolover 是啊 哪天把你家抄了你也会跪着感谢他们的。毕竟习惯当奴才了。
|
 |
91
jadec0der 2017-11-22 13:58:33 +08:00
呵呵,大疆这种硬件公司,封闭保守一点也可以理解,你就当他是个深圳电子厂好了。国际大厂?不存在的
|
 |
92
ProfFan 2017-11-22 14:19:46 +08:00
给大家理一下吧。
作者是大疆破解圈的牛人,这个圈子揭过大疆不少丑,包括使用 GPL 代码不开源,乱传用户数据等等。这次这个事件 9 月底圈子里就都知道了,而且估计库也已经被扒了。大疆现在这个态度估计是想掩盖下去,怕事情广泛传播。 总之个人对大疆的感觉和楼上同学一样,深圳某电子厂。 |
 |
95
xvx 2017-11-22 15:56:11 +08:00
这波操作,大疆牛逼,壮我国威。。。2333
以后发现国内的公司产品有啥漏洞,千万不要作死披露啊! |
 |
96
starvedcat 2017-11-22 16:01:14 +08:00
哈哈哈强国公司支性难改,要什么体面,不存在的。
|
Select Language