快讯
《TINYMETAL虚构的帝国》将于7月11日发售试玩版现已推出
10分钟前
《莱莎的工作室》繁体中文版将同步发售最新游戏资讯公开
15分钟前
中国移动推出首长5G元素电话卡:10元/月
16分钟前
爆冷!广州6月车牌竞价最低价仅1字头!比上个月降了2.6万...
19分钟前
极客修618见证服务消费剧增目前已启动城市战略4.0
22分钟前
《魔兽争霸III》黄金联赛夏季赛八强选手渐明
23分钟前
向“尚”赢出未来,尚美生活建立强劲品牌竞争力
24分钟前
InMobi发布《APP安装反作弊解决方案评估指南》打响“AI反作弊之战”
26分钟前
网易暴雪电竞经理:黄金赛让电竞本地化越来越好
31分钟前
云美摄APP融媒体包功能发布满足视频云端协同创作需求
32分钟前
没有声浪照样血脉喷张,北汽新能源军团战征2019环青赛
38分钟前
现代全新旗舰SUV亮相!能否把北京现代"盘活"?
39分钟前
上汽大通V80PLUS上市售12.98-22.26万
43分钟前
DBSSuperleggera敞篷版将亮相古德伍德
43分钟前
智达X3将于7月4日预售最大马力150PS
43分钟前
雷克萨斯的阵营中,可能不会再有第二个ES出现
44分钟前
一手好牌被打烂,马六同款底盘+轴距2725mm,当年辉煌如今月销1辆
51分钟前
此后再无"大黄蜂",福特野马终于失去了对手
58分钟前
《炉石传说》达拉然大劫案中国社区问题回复
59分钟前
生存还是毁灭?蒙牛30亿美元狂撒奥运背后的生死抉择
1小时前
起亚为了摆脱困境拼了,全新跨界车准备到来,掀背式颜值高
1小时前
众星齐聚Major前的预训火猫全程直播CSGOESLOne科隆站
1小时前
尺寸不大,配4AT的名爵ZS,凭什么月销八千超缤智?
1小时前
【E3Vlog】2019《巴士异闻录》——Day2马里奥指引我潜入EA异世界
1小时前
Atlus上财年财报公开数据亏损但业绩平稳增长
1小时前
两月三起自燃蔚来ES8终于宣布召回
1小时前
《非常英雄》PS4版本亚洲地区上线添加拍照模式更新中文配音
1小时前
趣店完成3亿美元可转债定价:2026年到期票面利率1.0%
1小时前
观潮论坛将和2019北京网络安全大会同步召开
1小时前
一亩田“牛播计划”启动百万现金寻最牛产地直播经纪人
1小时前

大疆被曝威胁漏洞发现者 回应称是该黑客未经授权私自下载用户数据

赵晋杰 2017-11-21 18:34:09

1.jpg

DoNews 11月21日消息(记者 赵晋杰)针对网上曝出的因大疆漏洞奖励计划引发的黑客纠纷,大疆官方回应称该黑客目前在有直接竞争关系的公司工作,最主要的是他未经大疆授权,通过未公开的密钥入侵大疆服务器,私自下载了部分用户数据。

事件起源于今年8月,大疆启动了一项漏洞奖励计划,奖励发现信息安全漏洞的研究人员。近日,信息安全研究员凯文·菲尼斯特尔(Kevin Finisterre)发布了一篇长文,讲述了他参与大疆漏洞奖励计划的糟糕经历。  

菲尼斯特尔称,自己与合作的其他黑客共同发现了大疆网页安全的一个严重漏洞。他们获得了大疆意外发布至GitHub的SSL认证私钥,从而可以获得储存在大疆服务器上的敏感用户信息。大疆为此提供了3万美元的最高奖金。

不过,大疆也对菲尼斯特尔开除了条件,要求他不能公开讨论工作细节,甚至不要提到他曾经为大疆从事过信息安全方面的工作。据菲尼斯特尔长文描述,在双方协商期间,大疆的法务团队甚至发给他一封邮件,威胁如果不从的话,要用《计算机欺诈和滥用法》起诉他。菲尼斯特尔认为这是种赤裸裸的威胁。他最终决定放弃这笔奖金,并公开了自己的经历。

对此,大疆在11月21日的回应中表示,菲尼斯特尔在发现密钥后,没有像其他白帽子一样仅仅提交漏洞报告,而是利用该密钥下载了部分数据。这属于未经授权入侵大疆服务器的行为,可能侵犯用户隐私安全。

大疆官方称,在与其沟通后,是菲尼斯特尔拒绝签订旨在保护用户隐私的保密协议,并就大疆拒绝其要求而对大疆进行了信息安全威胁。

同时,大疆称目前已经聘请了一家独立的网络安全公司来进行调查,确定这一入侵事件的整体风险及带来的影响。(完)

以为大疆官方回应全文:

今日,有媒体翻译转载国外媒体对大疆安全响应中心与一名“安全研究人员”纠纷的新闻报道。对此,大疆已于16日发布声明。在这里也希望就背景信息作出更多澄清。

该黑客就职于Department13公司。该公司旗下的产品与大疆的新型AeroScope系统构成直接竞争关系。在大疆发布了AeroScope系统后,Department13的股价大幅下跌20%,跌至21个月以来的低点。

大疆高度重视客户数据的隐私保护,并不断采取措施提高数据的安全性。除非客户自主选择与大疆服务器同步飞行记录,或将照片或视频上传至天空之城,或将产品实物送至大疆进行维修,否则大疆绝不会访问无人机飞行期间生成的飞行记录,照片或视频等数据。

大疆创新正在调查一起未经授权入侵大疆服务器数据的信息安全事件,其中可能涉及大疆用户所提交的个人信息。为了保障用户数据安全,大疆已经聘请了一家独立的网络安全公司来进行调查,确定这一入侵事件的整体风险及带来的影响。

今天,一位获取了这些数据的黑客在网上公布了他与大疆员工的保密通信,称其试图获得大疆安全响应中心的“漏洞报告奖励”而被驳回。 

事实上,该黑客通过大疆未公开的密钥以不当方式获得数据,这并不符合大疆安全响应中心的初衷与规则。

这位黑客在发现密钥后,并没有像其他白帽子一样仅仅提交漏洞报告,而是利用该密钥下载了部分数据。在大疆创新与其沟通后,他拒绝签订旨在保护用户隐私的保密协议,并就大疆拒绝其要求而对大疆进行信息安全威胁。

大疆创新建立安全应急响应中心以鼓励独立安全研究人员提交潜在的安全漏洞,其要求研究人员遵循的标准条款旨在倡导负责任的漏洞披露,保证在发掘过程中能够充分保护用户隐私,避免造成数据泄露损害用户利益。

大疆始终重视用户数据安全,并诚挚感谢研究人员负责任地发掘及披露可能影响大疆用户数据和大疆产品安全的技术问题,持续改进产品。自安全响应中心建立以来,大疆已向十几名同意标准条款并提交漏洞报告的安全研究人员支付了数千美元奖金。而这一项目还将继续进行,随着更多新漏洞报告的提交,大疆也将为更多安全研究人员支付奖金。

有关安全响应中心的更多详细信息以及如何提交漏洞报告,请访问security.dji.com。

 


相关文章

{{news.title}}

{{news.author}} {{news.timeFormat}}

正在加载......