V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
unknowfun
V2EX  ›  信息安全

怎么看《大疆漏洞奖励计划:信息安全研究员遭威胁,决定放弃 3 万美元的漏洞赏金》

  •  
  •   unknowfun · 2017-11-21 16:51:27 +08:00 · 9427 次点击
    这是一个创建于 2557 天前的主题,其中的信息可能已经有所发展或是发生改变。

    简单的说就是:一个叫 Kevin Finisterre 的安全员发现了 DJI 网页安全的一个严重漏洞,获得了 DJI 意外发布至 GitHub 的 SSL 认证私钥,从而可以获得储存在 DJI 服务器上的敏感用户信息。在和 DJI 邮件沟通过程中,DJI 说可以领取奖金,但要求他不能公开讨论工作细节,甚至不要提到他曾经为 DJI 从事过信息安全方面的工作, 要领取这笔奖金,Finisterre 不得不签署这份对他而言不公平、未对其未来的法律行动提供保护的协议,Finisterre 不同意,接下来,DJI 向他发出了“计算机欺诈和滥用行为”的威胁

    1: Man Finds DJI Customer Data Exposed, Gets Threat and Rejects $30K Bounty

    2:why i walked from 3k

    48 条回复    2017-11-22 13:33:45 +08:00
    czheo
        1
    czheo  
       2017-11-21 17:13:40 +08:00
    st2udio
        2
    st2udio  
       2017-11-21 17:29:50 +08:00
    var bucketName = "static-skypixel-dbeta-me";
    AWS.config.update({
    accessKeyId: 'AKIAIRKNYFZBHSS2COTA',
    secretAccessKey: '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',
    region: 'us-west-2',
    bucket: bucketName
    });
    就是这段东西吗
    yu099
        3
    yu099  
       2017-11-21 17:37:19 +08:00 via Android
    还在国内,没一千万,但是 dji 已经把人告进去过了。
    Va1n3R
        4
    Va1n3R  
       2017-11-21 17:47:07 +08:00
    作为一名接触了国内网络安全的小白,实在不服气。凭什么我们刷各种 SRC,各种 getshell,各种 DOS,各种注入,每个漏洞才十几元,大厂商才几百元,影响千万人的漏洞才值小几千,还要冒着被抓的风险提交漏洞(世纪佳缘)。


    一个 github hacking 就价值三万了???国内企业真是对人不对事
    不过国内行事特征不就是封住发现问题的人嘴巴,问题就算解决了吗
    Va1n3R
        5
    Va1n3R  
       2017-11-21 17:47:38 +08:00
    还是三万$
    matolv
        6
    matolv  
       2017-11-21 17:55:09 +08:00 via Android   ❤️ 1
    @Va1n3R 请翻开<经济学原理>曼昆著之市场供需原理
    SuperMild
        7
    SuperMild  
       2017-11-21 18:36:58 +08:00
    @Va1n3R 大疆有说过这个赏金只有外国人 github hacking 才能拿,中国国内网络安全小白不能拿吗?
    type
        8
    type  
       2017-11-21 18:54:36 +08:00
    不要给厂商提交漏洞
    ambilight
        9
    ambilight  
       2017-11-21 18:55:56 +08:00 via Android   ❤️ 1
    大疆法务可不是一般地叼。。。
    type
        10
    type  
       2017-11-21 18:56:53 +08:00   ❤️ 1
    不要给厂商提交漏洞,看看某云的下场就知道;
    gdzzzyyy
        11
    gdzzzyyy  
       2017-11-21 19:01:35 +08:00
    不要瞎给厂商提 匿名先黑一黑 让很多人知道
    hcymk2
        12
    hcymk2  
       2017-11-21 19:03:55 +08:00   ❤️ 1
    Va1n3R
        13
    Va1n3R  
       2017-11-21 19:10:53 +08:00
    @SuperMild 因为这在国内 SRC 都算不上漏洞。收了给你偷偷修回来,再拒收。
    Va1n3R
        14
    Va1n3R  
       2017-11-21 19:12:59 +08:00
    @hcymk2 鞭尸...
    windfarer
        15
    windfarer  
       2017-11-21 19:15:09 +08:00 via Android
    钓鱼执法么
    kmahyyg
        16
    kmahyyg  
       2017-11-21 19:17:38 +08:00 via Android
    这种就该直接黑,删库再说,还让不让白帽活的
    ltux
        17
    ltux  
       2017-11-21 20:10:17 +08:00
    这不就是世纪佳缘二号嘛,亏得是在国外,要是在国内说不定这人已经进去了
    Angdo
        18
    Angdo  
       2017-11-21 20:15:58 +08:00
    jjx
        19
    jjx  
       2017-11-21 20:57:49 +08:00
    大疆的声明, 指明该人是竞争公司 Department13 的员工, 如果属实, 我想可以理解

    https://news.cnblogs.com/n/583065/
    inkedawn
        20
    inkedawn  
       2017-11-21 21:27:00 +08:00   ❤️ 1
    “这位黑客在发现密钥后,并没有像其他白帽子一样仅仅提交漏洞报告,而是利用该密钥下载了部分数据。”
    terence4444
        21
    terence4444  
       2017-11-21 21:33:13 +08:00   ❤️ 3
    @jjx 他是哪个公司的一点都不重要,要真是存心想搞坏竞争对手,就直接拖库好了,还找 DJI 干什么?
    DJI 把这个列出来就是因为没什么好写的,非要加一笔是竞争对手公司的。这样恰恰说明了被 DJI 称为“黑客”的他,没有拿数据去作恶,还找了 DJI 说明情况。

    @inkedawn 发现密钥以后,需要试一下才知道是不是有效。下载了部分数据到底是多少条?是试验目的还是拖库,DJI 并没有说明。
    cnTangLang
        22
    cnTangLang  
       2017-11-21 23:19:23 +08:00
    国内互联网环境和执法环境比较恶劣,从我自身的经历得出的结论:发现问题,尽量自己避免就行了,其他的行为,都有可能给自己带来不必要的麻烦,包括告知漏洞所属的企业或政府部门。
    vmebeh
        23
    vmebeh  
       2017-11-21 23:27:00 +08:00
    公钥泄露了这么久,数据已经不值钱了吧
    inspiron530s
        24
    inspiron530s  
       2017-11-22 00:36:41 +08:00
    又一个罗生门。各说各话,真相不明
    SuperMild
        25
    SuperMild  
       2017-11-22 01:26:48 +08:00
    @jjx 是竞争公司的员工有什么问题?
    SuperMild
        26
    SuperMild  
       2017-11-22 01:30:08 +08:00
    我现在才看到大疆的澄清,大疆这是在给自己抹黑吧,这澄清文写得太恶心了。
    nodin
        27
    nodin  
       2017-11-22 08:37:57 +08:00 via Android
    竞争对手咋了?微软、谷歌之类的还不是经常互挖漏洞,也没人进去。
    yanzixuan
        28
    yanzixuan  
       2017-11-22 09:06:38 +08:00
    @SuperMild DJ 这么有钱,为这点钱把形象都搞坏了,真是不值。。。
    abclearner
        29
    abclearner  
       2017-11-22 09:17:25 +08:00
    很简单 dj 从此一生黑
    momocraft
        30
    momocraft  
       2017-11-22 09:27:24 +08:00
    先进技术和国企式的思想是可以共存的
    MrYELiex
        31
    MrYELiex  
       2017-11-22 09:43:52 +08:00
    要求他不能公开讨论工作细节,甚至不要提到他曾经为 DJI 从事过信息安全方面的工作
    没觉得有什么问题有什么不公平 你不签鬼知道你后面还要拿来干什么 毕竟是敏感漏洞
    type
        32
    type  
       2017-11-22 10:00:50 +08:00
    解决提出问题的人,这不是一贯的思路么?
    SuperMild
        33
    SuperMild  
       2017-11-22 10:08:47 +08:00 via iPhone
    @MrYELiex 问题是小哥找四个律师看过说不能签,他不能透露文件内容,但是大疆可以,如果文件没问题,大疆完全应该发出来让大家看看,然而大疆不仅没有,对这件事的过程一句话都没有说,反而全文抹黑对方。
    qsnow6
        34
    qsnow6  
       2017-11-22 10:15:28 +08:00
    别说了,DJI 的澄清文写得跟屎一样,转移视线;攻击是竞争对手员工的身份,这不符合罗伯特议事规则
    jccg90
        35
    jccg90  
       2017-11-22 10:15:35 +08:00
    哈,本质上就是认罪书,签完就抓人。。。之前被抓的好像就是这种套路
    abcbuzhiming
        36
    abcbuzhiming  
       2017-11-22 10:16:52 +08:00   ❤️ 1
    @terence4444 法律可不管你是试验还是干什么,你发现了漏洞并接触了不被授权接触的数据,别人就可以告你违法,这就是为啥白帽子在国内很艰难的原因,因为你说你发现了漏洞?你不去试试你怎么知道漏洞是不是存在,你一试,哪怕下载了一个字节,你就违法了,因为在授权商这些数据你无权接触,这其实就是为啥乌云挂掉的原因。法律上的解决安全问题的思路是“禁止任何人接触不被授权接触的数据”;而技术人员的思路是“验证一下漏洞然后尽量修复”。这是存在本质冲突的,所以我强烈的不建议各位自己去搞什么安全行业,除非你在大的安全厂
    terence4444
        37
    terence4444  
       2017-11-22 10:48:08 +08:00 via iPhone
    @abcbuzhiming 所以这件事情要用国内法律解决,因为 DJI 是一个中国公司吗?
    helica
        38
    helica  
       2017-11-22 10:54:09 +08:00 via iPhone
    中国有句老话,叫…
    Zzzzzzzzz
        39
    Zzzzzzzzz  
       2017-11-22 11:05:09 +08:00
    @yanzixuan 它在航模圈形象从来没好过, 口碑好的只是产品, 5000 以上无竞品是事实.....

    @terence4444 大部分国家都这样, 盲扫端口就属于 illegal 了, webpy 作者还不是去下了一堆未被授权的东西被搞到自杀, 只不过大家看到的都是拿了公开悬赏漏洞大厂银子的白帽子的风光, 忘了这行当本来就是行走在河边的
    SuperMild
        40
    SuperMild  
       2017-11-22 11:08:10 +08:00
    随意搜索了一下,貌似 DJI 选择在国内起诉也可以,但即使胜诉也不能跨国执法,只是那小哥以后不能来中国了。
    QQ2171775959
        41
    QQ2171775959  
       2017-11-22 11:12:11 +08:00
    法律可不管你是试验还是干什么,你发现了漏洞并接触了不被授权接触的数据,别人就可以告你违法,这就是为啥白帽子在国内很艰难的原因,因为你说你发现了漏洞?你不去试试你怎么知道漏洞是不是存在,你一试,哪怕下载了一个字节,你就违法了,因为在授权商这些数据你无权接触,这其实就是为啥乌云挂掉的原因。法律上的解决安全问题的思路是“禁止任何人接触不被授权接触的数据”;而技术人员的思路是“验证一下漏洞然后尽量修复”。这是存在本质冲突的,所以我强烈的不建议各位自己去搞什么安全行业,除非你在大的安全厂 说得太好了。。。
    abcbuzhiming
        42
    abcbuzhiming  
       2017-11-22 11:12:20 +08:00
    @terence4444 不,你弄错了一件事情,实际上,这不是中国还是外国的问题,外国的法律也是这么定的,法律解决问题的思路和技术人员解决问题的思路完全不一样,只不过你可以认为外国资本发展这么多年,野蛮时代已经过去了,所以在这个问题上态度比国内温和而已。实际上,哪国的法律都是这么定的:计算机的漏洞就像别人家的门忘记锁了,就算你看见了,你也不能进去,你说我要进去拿一个字节验证一下,对不起,你犯法,剩下的就是我告不告你的问题了
    deeporist
        43
    deeporist  
       2017-11-22 11:18:58 +08:00
    扶老人 交漏洞
    terence4444
        44
    terence4444  
       2017-11-22 11:45:34 +08:00
    @abcbuzhiming
    规定是这样没错,这种事情算是刑事还是民事,刑事的话是自诉还是公诉,不知在各个国家是怎么规定的。
    一般国外的公司不会轻易威胁或起诉报告漏洞的人员,这样会造成什么后果大家都知道,而且即使起诉也不会派警察去抓人,而且会有一个庭审的过程。所以我觉得把国内的情况套用到国外并不合适。

    DJI 事件当事人也是咨询了四个律师以后才决定放弃奖金,DJI 也不会去起诉他,这要是放国内的话早就被抓起来了吧。
    ayang23
        45
    ayang23  
       2017-11-22 12:08:22 +08:00
    这样也挺好,把提交漏洞这条路堵死后,搞漏洞的就只能使劲搞他或者去黑市卖掉让别人搞了。
    uan
        46
    uan  
       2017-11-22 12:11:10 +08:00
    这要是放国内的话早就被抓起来了吧
    mayne95
        47
    mayne95  
       2017-11-22 13:12:56 +08:00 via Android
    @ayang23 最后的受害者还是用户,隐私泄露,各种骚扰诈骗,仿佛被强奸。厂商没能力保护数据,又非要实名
    cisisustring
        48
    cisisustring  
       2017-11-22 13:33:45 +08:00 via Android
    以后发现漏洞,直接卖给第三方就好了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5289 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 48ms · UTC 08:24 · PVG 16:24 · LAX 00:24 · JFK 03:24
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.