2017年的 8月,大疆為了吸引安全研究人員提交公司相關漏洞,發起了一個名為「懸賞除蟲」的項目。該項目採用獎勵機制,是根據bug 的嚴重程度,參與者可獲得 100 到 30000 美元不等的獎金。採用這樣的機制,效果立竿見影,活動開始不久,大疆公司就得到消息稱大疆的 SSL 證書和 AES 加密密鑰已被公開在 GitHub 上。這個問題非常嚴重,涉及公司各項機密的安全問題,向該公司匯報此消息的正是一位研究人員 Kevin Finisterre,他在「懸賞除蟲」項目發起不久後就立即與大疆公司進行溝通及匯報相關漏洞。證書和密鑰的暴露,意味著在新密鑰被創建和部署之前,當前的加密措施將形同虛設。因此,大疆公司必須盡快做出應對措施。
Finisterre 與大疆公司以該問題是否屬於漏洞獎賞項目之內進行了多次溝通。在經過了長時間的電子郵件溝通之後,根據 Finisterre 對項目規則的分析,他認為自己所匯報的問題理應包含在大疆的漏洞獎賞項目之內。然而,大疆卻提出了令人詫異的要求:如果想要獲得金錢獎勵,就必須遵守對此事嚴格保密的協議要求。
大疆之所以要求對方遵守保密協議,是為了防止漏洞被公開利用,但對安全研究人員來說,被認可和獲得金錢獎勵一樣重要。
魚與熊掌不可兼得,大疆公司的要求令 Finisterre 非常煩惱。假若要領取這筆獎金,Finisterre 不得不簽署這份對他而言不公平、未對其未來的法律行動提供保護的協議。除此之外,大疆還向他發出了控告《電腦欺詐和濫用行為》的威脅(類似香港《不誠實使用電腦》),該公司的做法使 Finisterre 非常不滿。於是 Finisterre 決定請求律師的幫助。
Finisterre 與多名律師聯繫,並與律師團隊深入討論了這件事情,商量著如何解決才是恰當的。最終,Finisterre 認為漏洞是自己的發現的,這是自己的成果,不應被人剝奪。因此,他決定放棄獎金以遠離是非,並將其發現公之於眾。感興趣的網友們可以自由地閱讀他披露的全部信息(PDF),並得出自己的結論。
在 Finisterre 將漏洞公開及大疆公司的行為向公眾發布後,大疆也立即對該事件作出了回應,聲明該黑客以不正當的手段獲得數據。
大疆聲明:https://www.dji.com/newsroom/news/dji-statement-on-reported-data-security-issue
