早在8月份,DJI就啟動了一個bug賞金計劃,旨在獎勵那些發現了安全漏洞的研究人員。這種網路安全的方法現在很普遍,像谷歌、微軟和雅虎這樣的大公司執行自己的程式,而小公司則依賴Bugcrowd和HackerOne這樣的平臺。
不幸的是,DJI與白帽駭客合作的努力已經引起了爭議。Kevin Finisterre是一位安全研究員,他的早期關於DJI安全性的研究成為了頭條新聞,他昨天發表了一篇長篇文章,詳細描述了他在DJI的bug賞金計劃中的負面經歷。今天早上,它登上了美國科技界廣為閱讀的論壇“駭客新聞”的榜首。
菲尼斯特爾和他一起工作的一群駭客發現了DJI網路安全中的一個非常嚴重的漏洞。他們能夠獲得其SSL證書的私鑰,DJI意外地將其釋出在GitHub上,從而允許他們訪問儲存在DJI伺服器上的敏感客戶資訊。他問DJI這個問題是否在bug賞金的範圍內,DJI公司證實了這一點。菲尼斯特爾寫了一份詳細的報告。DJI批准了這項工作,並向他提供了3萬美元的賞金,這是他們的最高獎勵。
但DJI還沒來得及收貨,就把菲尼斯特爾的合同給毀了。實質上,它要求他不要公開討論他所做工作的細節,或者他根本沒有為DJI做過安全工作。對於菲尼斯特爾這樣的研究人員來說,公眾對這項工作的認可往往和金錢獎勵一樣有價值。在雙方就合同進行討價還價時,DJI的法律團隊發出了一封信,信中提到了《計算機欺詐和濫用法案》,Finister將該法案解釋為一種含蓄的威脅。他決定放棄這筆錢,把自己的經歷公之於眾。
“儘管我們在過去4年裡取得了很多進展,但對於組織來說,透過bug賞金與研究社群合作還是比較新穎的。Bugcrowd是一個bug賞金平臺,Bugcrowd的產品副總裁Jonathan Cran說:“對於那些在沒有準備的情況下就啟動的組織來說,被大量的高影響問題所淹沒的情況並不少見,這似乎是問題的一個重要部分。”。
“我們建議DJI儘快解決問題,而不是採取法律行動。“根據我們今天掌握的資訊,這似乎是一個誤解,並沒有惡意的意圖,”克蘭說Bug優惠以無與倫比的成本提供極高的質量結果—但正如我們向客戶強調的那樣,您需要一個合作伙伴。”
有一些臭蟲賞金專案要求研究人員嚴格遵守保密協議。像蘋果和聯合航空公司這樣的公司都要求研究人員保持相當的守口如瓶。但在研究投入時間發現、報告和提交bug之前,這個限制就已經明確了。通常會有一些公共信用。
在Finister重新釋出了他的賬戶後,DJI為其bug bounty計劃開通了一個官方網站,並向任何想要參與的人明確了其條款和條件。時間會告訴我們,它是否能夠修複與研究人員群體的關係,建立一個對雙方都有效的賞金計劃。
...蟲。臭蟲又稱Halyomorpha halys,臭蟲種類繁多,其中最常見的臭蟲是棕色泥鰍。它們通常分佈在中國、日本和臺灣,。然而,最近在美國也意外地發現了它們。臭蟲喜歡在家裡度過冬天,在那裡它受到極端的冬季條件的保護。 成蟲...
...計劃,旨在鼓勵Windows使用者在其產品中發現漏洞。Windows賞金計劃意味著您可以獲得多達250000美元的報酬,因為您是第一個在Windows 10和/或其他合格產品中發現和報告錯誤的人。 ...
... 對於一些程式的例子,你可以看看,我們有一個可怕的臭蟲賞金計劃賺取零花錢清單。或者考慮在googleplay商店中查詢流行應用程式中的bug。谷歌已經開始向發現安卓應用程式存在安全問題的駭客支付現金,因此有機會透過...
...以檢視其他公司的程式。一些例子,請看我們的清單可怕的臭蟲賞金計劃賺取零花錢。 ...
... 臭蟲賞金計劃在科技界很常見。軟體公司承諾對在產品中發現漏洞的程式設計師、駭客和安全專家給予獎勵。該公司利用全球專家網路的力量,這些專家可以磨練自己的技...
...能發現並消滅每一個bug。這就是為什麼大多數大公司都有臭蟲獎勵計劃。現在Netflix有1億使用者,它是最新加入競爭的公司。 ...
...鈕。 我計算過,這樣你每年可以省下整整32秒,這至少是一次絆倒(很值得)。它還允許您在工具欄不可見的情況下絆倒,因此您有更多的螢幕空間來絆倒。 只需單擊Stumble工具欄的“工具”選單,然後選擇“工具欄選項”。 ...
...的想法或者在WindowsVista中修復一些煩人的事情,你應該在賞金計劃論壇上加上一個線索…我們很快就會挑選下一個專案來贊助。 從Ave的Vista下載AveDesktopSites[mirror]
...些緩解。 更新3月16日,12:12pm:增加了額外的資訊Rockstar的臭蟲賞金計劃獎給t0st。
...了解到違規行為。”。 根據指控,沙利文試圖透過一個臭蟲懸賞計劃向駭客支付10萬美元,儘管公司不知道駭客是誰。沙利文試圖讓駭客簽署保密協議,協議規定駭客沒有帶走或儲存任何使用者和驅動程式資料。 在加州北區提...