重點文章
DJI 是全球主要無人機生產商,它旗下有一個回報漏洞的機制,成功回報最高可領取 US$30000,但是真的要回報漏洞的時候,DJI 開出條件隨時嚇跑黑客。
事緣有系統保安人員 Kevin Finisterre,成功透過 Github 提供的密鑰存取 DJI 伺服器數據,這些數據非常敏感,包括飛行記錄、護照、駕髮執照、身份證等等,他發現漏洞被 DJI 評價之後,確定可以有 US$30000,但是……
Finisterre 在與 DJI 談判期間,DJI 卻開出一個條件,就是將這件事情保密,但他的律師介入之後認為條件風險太高太霸道,於是拒絕簽署。豈料 DJI 很快向 Finisterre 開出律師信,說他的沒有授權進入 DJI 伺服器,威脅不簽署的話會控告他。結果 Finisterre 放棄獎金,將漏洞公之於世。
另一方面 DJI 發出聲明反指,有黑客非法取得 DJI 伺服器的數據,DJI 一直嘗試與黑客溝通,但開出的條件均被他拒絕之餘,甚至被威脅同意一些無理要求。
目前不少科技公司例如 Samsung、Apple、Twitter、Facebook 等等都有漏洞回報獎金計劃,吸引黑客把漏洞交給科技公司,科技公司會與黑客溝通,釐定黑客可獲得的報酬。
