这是一个创建于 2882 天前的主题,其中的信息可能已经有所发展或是发生改变。
简单的说就是:一个叫 Kevin Finisterre 的安全员发现了 DJI 网页安全的一个严重漏洞,获得了 DJI 意外发布至 GitHub 的 SSL 认证私钥,从而可以获得储存在 DJI 服务器上的敏感用户信息。在和 DJI 邮件沟通过程中,DJI 说可以领取奖金,但要求他不能公开讨论工作细节,甚至不要提到他曾经为 DJI 从事过信息安全方面的工作, 要领取这笔奖金,Finisterre 不得不签署这份对他而言不公平、未对其未来的法律行动提供保护的协议,Finisterre 不同意,接下来,DJI 向他发出了“计算机欺诈和滥用行为”的威胁
1: Man Finds DJI Customer Data Exposed, Gets Threat and Rejects $30K Bounty
48 条回复 2017-11-22 13:33:45 +08:00
 | 2 st2udio 2017-11-21 17:29:50 +08:00 var bucketName = "static-skypixel-dbeta-me"; AWS.config.update({ accessKeyId: 'AKIAIRKNYFZBHSS2COTA', secretAccessKey: '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', region: 'us-west-2', bucket: bucketName }); 就是这段东西吗 |
 | 3 yu099 2017-11-21 17:37:19 +08:00 via Android 还在国内,没一千万,但是 dji 已经把人告进去过了。 |
 | 4 Va1n3R 2017-11-21 17:47:07 +08:00 作为一名接触了国内网络安全的小白,实在不服气。凭什么我们刷各种 SRC,各种 getshell,各种 DOS,各种注入,每个漏洞才十几元,大厂商才几百元,影响千万人的漏洞才值小几千,还要冒着被抓的风险提交漏洞(世纪佳缘)。 一个 github hacking 就价值三万了???国内企业真是对人不对事 不过国内行事特征不就是封住发现问题的人嘴巴,问题就算解决了吗 |
| 5 Va1n3R 2017-11-21 17:47:38 +08:00 还是三万$ |
 | 8 type 2017-11-21 18:54:36 +08:00 不要给厂商提交漏洞 |
 | 9 ambilight 2017-11-21 18:55:56 +08:00 via Android  1 大疆法务可不是一般地叼。。。 |
| 10 type 2017-11-21 18:56:53 +08:00 1 不要给厂商提交漏洞,看看某云的下场就知道; |
 | 11 gdzzzyyy 2017-11-21 19:01:35 +08:00 不要瞎给厂商提 匿名先黑一黑 让很多人知道 |
 | 12 hcymk2 2017-11-21 19:03:55 +08:00 1 |
 | 15 windfarer 2017-11-21 19:15:09 +08:00 via Android 钓鱼执法么 |
 | 16 kmahyyg 2017-11-21 19:17:38 +08:00 via Android 这种就该直接黑,删库再说,还让不让白帽活的 |
 | 17 ltux 2017-11-21 20:10:17 +08:00 这不就是世纪佳缘二号嘛,亏得是在国外,要是在国内说不定这人已经进去了 |
 | 18 Angdo 2017-11-21 20:15:58 +08:00 |
 | 19 jjx 2017-11-21 20:57:49 +08:00 |
 | 20 inkedawn 2017-11-21 21:27:00 +08:00 1 “这位黑客在发现密钥后,并没有像其他白帽子一样仅仅提交漏洞报告,而是利用该密钥下载了部分数据。” |
 | 21 terence4444 2017-11-21 21:33:13 +08:00 3 |
 | 22 cnTangLang 2017-11-21 23:19:23 +08:00 国内互联网环境和执法环境比较恶劣,从我自身的经历得出的结论:发现问题,尽量自己避免就行了,其他的行为,都有可能给自己带来不必要的麻烦,包括告知漏洞所属的企业或政府部门。 |
 | 23 vmebeh 2017-11-21 23:27:00 +08:00 公钥泄露了这么久,数据已经不值钱了吧 |
 | 24 inspiron530s 2017-11-22 00:36:41 +08:00 又一个罗生门。各说各话,真相不明 |
 | 26 SuperMild 2017-11-22 01:30:08 +08:00 我现在才看到大疆的澄清,大疆这是在给自己抹黑吧,这澄清文写得太恶心了。 |
 | 27 nodin 2017-11-22 08:37:57 +08:00 via Android 竞争对手咋了?微软、谷歌之类的还不是经常互挖漏洞,也没人进去。 |
 | 29 abclearner 2017-11-22 09:17:25 +08:00 很简单 dj 从此一生黑 |
 | 30 momocraft 2017-11-22 09:27:24 +08:00 先进技术和国企式的思想是可以共存的 |
 | 31 MrYELiex 2017-11-22 09:43:52 +08:00 要求他不能公开讨论工作细节,甚至不要提到他曾经为 DJI 从事过信息安全方面的工作 没觉得有什么问题有什么不公平 你不签鬼知道你后面还要拿来干什么 毕竟是敏感漏洞 |
| 32 type 2017-11-22 10:00:50 +08:00 解决提出问题的人,这不是一贯的思路么? |
| 33 SuperMild 2017-11-22 10:08:47 +08:00 via iPhone @MrYELiex 问题是小哥找四个律师看过说不能签,他不能透露文件内容,但是大疆可以,如果文件没问题,大疆完全应该发出来让大家看看,然而大疆不仅没有,对这件事的过程一句话都没有说,反而全文抹黑对方。 |
 | 34 qsnow6 2017-11-22 10:15:28 +08:00 别说了,DJI 的澄清文写得跟屎一样,转移视线;攻击是竞争对手员工的身份,这不符合罗伯特议事规则 |
 | 35 jccg90 2017-11-22 10:15:35 +08:00 哈,本质上就是认罪书,签完就抓人。。。之前被抓的好像就是这种套路 |
 | 36 abcbuzhiming 2017-11-22 10:16:52 +08:00 1 @terence4444 法律可不管你是试验还是干什么,你发现了漏洞并接触了不被授权接触的数据,别人就可以告你违法,这就是为啥白帽子在国内很艰难的原因,因为你说你发现了漏洞?你不去试试你怎么知道漏洞是不是存在,你一试,哪怕下载了一个字节,你就违法了,因为在授权商这些数据你无权接触,这其实就是为啥乌云挂掉的原因。法律上的解决安全问题的思路是“禁止任何人接触不被授权接触的数据”;而技术人员的思路是“验证一下漏洞然后尽量修复”。这是存在本质冲突的,所以我强烈的不建议各位自己去搞什么安全行业,除非你在大的安全厂 |
| 37 terence4444 2017-11-22 10:48:08 +08:00 via iPhone @abcbuzhiming 所以这件事情要用国内法律解决,因为 DJI 是一个中国公司吗? |
 | 38 helica 2017-11-22 10:54:09 +08:00 via iPhone 中国有句老话,叫… |
 | 39 Zzzzzzzzz 2017-11-22 11:05:09 +08:00 @yanzixuan 它在航模圈形象从来没好过, 口碑好的只是产品, 5000 以上无竞品是事实..... @terence4444 大部分国家都这样, 盲扫端口就属于 illegal 了, webpy 作者还不是去下了一堆未被授权的东西被搞到自杀, 只不过大家看到的都是拿了公开悬赏漏洞大厂银子的白帽子的风光, 忘了这行当本来就是行走在河边的 |
| 40 SuperMild 2017-11-22 11:08:10 +08:00 随意搜索了一下,貌似 DJI 选择在国内起诉也可以,但即使胜诉也不能跨国执法,只是那小哥以后不能来中国了。 |
 | 41 QQ2171775959 2017-11-22 11:12:11 +08:00 法律可不管你是试验还是干什么,你发现了漏洞并接触了不被授权接触的数据,别人就可以告你违法,这就是为啥白帽子在国内很艰难的原因,因为你说你发现了漏洞?你不去试试你怎么知道漏洞是不是存在,你一试,哪怕下载了一个字节,你就违法了,因为在授权商这些数据你无权接触,这其实就是为啥乌云挂掉的原因。法律上的解决安全问题的思路是“禁止任何人接触不被授权接触的数据”;而技术人员的思路是“验证一下漏洞然后尽量修复”。这是存在本质冲突的,所以我强烈的不建议各位自己去搞什么安全行业,除非你在大的安全厂 说得太好了。。。 |
| 42 abcbuzhiming &nbs;2017-11-22 11:12:20 +08:00 @terence4444 不,你弄错了一件事情,实际上,这不是中国还是外国的问题,外国的法律也是这么定的,法律解决问题的思路和技术人员解决问题的思路完全不一样,只不过你可以认为外国资本发展这么多年,野蛮时代已经过去了,所以在这个问题上态度比国内温和而已。实际上,哪国的法律都是这么定的:计算机的漏洞就像别人家的门忘记锁了,就算你看见了,你也不能进去,你说我要进去拿一个字节验证一下,对不起,你犯法,剩下的就是我告不告你的问题了 |
 | 43 deeporist 2017-11-22 11:18:58 +08:00 扶老人 交漏洞 |
| 44 terence4444 2017-11-22 11:45:34 +08:00 @abcbuzhiming 规定是这样没错,这种事情算是刑事还是民事,刑事的话是自诉还是公诉,不知在各个国家是怎么规定的。 一般国外的公司不会轻易威胁或起诉报告漏洞的人员,这样会造成什么后果大家都知道,而且即使起诉也不会派警察去抓人,而且会有一个庭审的过程。所以我觉得把国内的情况套用到国外并不合适。 DJI 事件当事人也是咨询了四个律师以后才决定放弃奖金,DJI 也不会去起诉他,这要是放国内的话早就被抓起来了吧。 |
 | 45 ayang23 2017-11-22 12:08:22 +08:00 这样也挺好,把提交漏洞这条路堵死后,搞漏洞的就只能使劲搞他或者去黑市卖掉让别人搞了。 |
 | 46 uan 2017-11-22 12:11:10 +08:00 这要是放国内的话早就被抓起来了吧 |
 | 47 mayne95 2017-11-22 13:12:56 +08:00 via Android @ayang23 最后的受害者还是用户,隐私泄露,各种骚扰诈骗,仿佛被强奸。厂商没能力保护数据,又非要实名 |
 | 48 cisisustring 2017-11-22 13:33:45 +08:00 via Android 以后发现漏洞,直接卖给第三方就好了。 |
Select Language