安全研究人员遭大疆起诉 大疆回应称其以不当方式获取数据

本篇文章1022字，读完约3分钟

今年8月，大江启动了漏洞奖励计划，根据漏洞的严重程度，奖金从100美元到3万美元不等。旨在吸引国外白帽及相关安全研究人员关注大江无人机的安全，并积极提交漏洞报告。这本来是双方愉快的合作，但最近大江和安全研究人员发生了争执。

Finisterre发现了一个漏洞并暴露了敏感数据

事实上，早在一年前，一位名叫kevin finisterre的安全研究员就开始关注大江的源代码，并耐心地寻找潜在的漏洞。菲尼斯特尔今年5月向大江汇报了他的发现，并得到了大江的回复，证实他提出的漏洞已被纳入项目奖励范围。

他和他的同事连夜编辑了一份冗长的漏洞报告，指出存在严重问题。他们不小心把大江的ssl证书和aes加密密钥泄露给了github。这使得大江所有的旧钥匙都变得无用，这可能导致用户信息和飞行日志等私人信息在大江服务器上被下载。然而，最终，大江认出了菲尼斯特尔的漏洞报告，给了他3万美元的最高奖金。

保密协议引起了双方的争议

更值得注意的是，经过双方长时间的电子邮件交流，大江还是向菲尼斯特尔和他的团队提出了请求。为了对该漏洞信息严格保密，有必要签署一份保密协议，其中包含任何他不能透露的有关该漏洞的详细信息。但是对于像费尼斯特尔这样的研究人员来说，获得公众的认可和获得经济回报一样重要。

当双方沟通具体事宜时，菲尼斯特尔还透露，大江的法律团队给他发了一封电子邮件，称如果他们不签署保密协议，他们将依据《计算机欺诈和滥用法》起诉他。在咨询了几位律师后，菲尼斯特尔认为这是赤裸裸的威胁，于是他决定放弃3万美元奖金，与公众分享。

大江及时回应

对此，大江于16日发表声明，希望对背景资料做出更多澄清。自从安全响应中心成立以来，大江已经向十几个同意标准条款并提交漏洞报告的安全研究人员支付了数千美元。

在发现密钥后，黑客不像其他白帽子一样提交漏洞报告，而是使用密钥下载一些数据。在与DJI创新公司沟通后，他拒绝签署旨在保护用户隐私的保密协议，并威胁DJI的信息安全，因为DJI拒绝了他的请求。

此外，该黑客在互联网上公布了他与大江员工的保密通信，称他试图从大江安全应对中心获得漏洞报告的奖励，但遭到拒绝。事实上，黑客是通过大江未公开的密钥以不正当的方式获取数据的，这与大江安全应对中心的初衷和规定不符。

最后，DJI还表示，DJI一直高度重视用户数据安全，真诚感谢研究人员负责任地发现和披露可能影响DJI用户数据和产品安全的技术问题，并不断改进产品。

原文: