在公众视野中发现DJI客户数据后,人类会受到威胁,而不是错误奖励

  • 栏目:杀号技巧 时间:2018-06-18

DJI是中国制造广受欢迎的幻影品牌消费者四翼无人驾驶飞机的公司,它在9月份被告知,开发人员已经将所有公司Web域的通配符证书私钥和发布在GitHub上的代码公开披露的亚马逊Web服务上的云存储帐户密钥都留了下来。利用这些数据,研究人员凯文·芬尼斯特雷能够访问DJI客户上传的飞行日志数据和图像,包括政府身份证、驾驶证和护照的照片。一些数据包括与政府和军事领域有关的账户的飞行日志。Finisterre在8月份公布的DJI bug bounting计划下开始探查DJI系统后,发现了安全错误。但当Finisterre向公司记录错误时,他遭到越来越多的抵制——包括威胁要根据《计算机欺诈和滥用法案》( CFAA )提出指控。DJI拒绝为公司的数据提供任何法律诉讼保护。所以Finisterre昨天退出了这个项目,并公开发表了他的发现,以及一篇名为“我为什么要放弃3万美元的DJI奖金”的文章。

黑客? DJI今年秋天发布了bug bounting消息,此前美国军方出于安全考虑,下令禁止将DJI无人机用于任何军事目的。此外,也有关于有人黑客攻击DJI无人机固件的报道,有些人甚至通过Finisterre将黑客攻击发布到GitHub。但据Finisterre说,这个节目显然被赶了出来。该公司没有也尚未公开界定赏金计划的范围。所以当Finisterre发现DJI的SSL证书和固件AES加密密钥已经通过在GitHub上的搜索暴露出来——在某些情况下长达四年——他联系了该公司,看它的服务器是否在bug bounty计划的范围之内。他被告知是这样的——DJI官员稍后将收回这份声明。进一步阅读rmy告诉部队立即停止使用DJI无人驾驶飞机,因为cyber

Finisterre进行了另一次GitHub搜索,并发现了DJI SkyPixel照片共享服务的AWS私钥。他通过DJI moders Slack渠道获悉,一些DJI AWS帐户被设置为公开访问,并且 buckers 包括他们收到的服务电子邮件的所有附件……受损无人机的图像……收据和其他个人数据……以及被螺旋桨切割的人的偶尔照片。

Finisterre在初步询问后,两周多没有听到有关程序范围的消息。接下来,他发送了一封后续电子邮件,并收到一条消息说:

就范围而言,bug bounting程序涵盖固件、应用程序和服务器中的所有安全问题,包括源代码泄漏、安全解决方法和隐私问题。我们正在为它编写详细的用户指南。

Finisterre在得到这一保证后说,他开始根据他所看到的内容编写披露报告,记录违规的程度。在此期间,他发现了个人身份信息。有鉴于此,他通过DJI的一个比我所接触的人更了解技术的朋友,立即向公司通报了曝光情况。

几小时后,另一名DJI员工联系了Finisterre。他告诉这位代表,“我看到了未加密的飞行日志、护照、驾照和身份证。 Finisterre继续与员工陈永森沟通,在一长串关于基本安全概念和bug bounting实践的教育中,交换了130多封电子邮件。Finisterre写道:“

有一次……DJI甚至提出直接聘用我与他们就安全问题进行磋商”。Finisterre在提交有关暴露于bug bounting计划的完整报告时,收到了DJI s Brendan Schulman的电子邮件,表示公司的服务器突然不在bounting计划的范围之内。不过,Finisterre在9月28日收到了DJI bug bounting计划电子邮件帐户的通知,他的报告获得了该计划的最高奖励——现金3万美元。然后,芬尼斯特雷在近一个月里什么也没听到。

最终,Finisterre收到一封包含协议合同的电子邮件,他说没有为研究人员提供任何保护。对我个人来说,这种措辞使我的工作权利受到威胁,对包括言论自由在内的许多事情造成了直接的利益冲突。 finiterre似乎很清楚整个' Bug bountling程序都是基于这一点而仓促完成的',他写道。

尽管舒尔曼努力帮助与DJI中国法律部门沟通,但情况并没有明显改善。finisterre很快收到深圳法律部门的来信,要求他销毁他在研究中发现的任何数据,否则将面临CFAA的起诉。Finisterre写道,

当DJI发出最终报价合同时,不少于四名律师以各种方式告诉我,该协议不仅风险极大,而且很可能是出于恶意而制定的,目的是让签署协议的任何人保持沉默。一名律师最终要花上我几千美元,我有信心能包罗万象,把我的担忧抛诸脑后,使协议得以签署。 DJI在对CFAA威胁表示不满后,停止了与Finisterre的沟通,并退出了协议,没收了承诺给他的3万美元。Ars联系了DJI北美公司传播总监亚当·利斯伯格,征求意见。对此,他向我们介绍了11月16日发表的以下官方声明。这种语言叫Finisterre a hacker。

DJI正在调查所报告的未经授权访问一台包含我们用户提交的个人信息的DJIs服务器的情况。作为对客户数据安全承诺的一部分,DJI聘请了一家独立的网络安全公司来调查此报告以及未经授权访问此数据的影响。今天,一名黑客在网上获得了一些这方面的数据,他与DJI员工进行了秘密交流,讲述了他试图从DJI安全响应中心获得“bug bounty”。

DJI成立了安全响应中心,鼓励独立的安全研究人员负责任地报告潜在的漏洞。DJI要求研究人员遵循bug bounting程序的标准条款,这些条款旨在保护机密数据,并在漏洞被公开披露之前留出时间进行分析和解决。尽管DJI继续试图与黑客谈判,但黑客拒绝同意这些条款,并威胁DJI如果他的条款没有得到满足。在声明中,DJI声称自该项目启动以来,已经向近十名研究人员支付了数千美元。DJI发布的bug bountling程序条款不包括第三方网站或服务,包括DJI应用程序中包含的第三方软件,尽管尚不清楚这些条款是否在Finisterre工作前传达给他。而通过bug bounting计划提交的bug bounting程序的正式电子邮件地址从昨天起就被关闭了,根据Ars收到的这个回复消息:

请注意,从2017 - 11 - 16开始,我们将不再接受通过此电子邮件提交的bug报告。如果您有任何问题,请通过bugbounting @ DJI . com联系我们,我们很快会给您回复。

如果你真的想把错误提交给DJI,你仍然可以通过他们的安全网页。

更多阅读

亚马逊美国的螺栓和烧杯生意兴隆

杀号技巧 06-04
亚马逊在做生意。通过向消费者销售婴儿湿巾和智能手机盒而成长的西雅图电子零售商,现在也在扩大向公司销售工业和商业用品的影响力。在悄悄建...
查看全文

我们的五月一日没有汉·索洛真的是一个悲伤的日子

杀号技巧 06-04
放大影像卢卡斯影业在等了三十多年看索洛和朱伊复出后,大日子终于到来。当我看到一片垃圾(更称为千年隼)从雅库冲出来时,我感到发冷,当我听到......
查看全文

用大炮取乐

杀号技巧 07-03
让你想爬进去或爬上去的大桶是什么?我不知道,但是让我告诉你,根据欧洲历史博客上发布的一组很棒的照片,你不是第一个体验这种感觉的人。看...
查看全文
返回全部新闻

Copyright © 2017 时时彩杀号法 版权所有