dji的臭蟲賞金計劃以一次絆倒開始

早在8月份，DJI就啟動了一個bug賞金計劃，旨在獎勵那些發現了安全漏洞的研究人員。這種網路安全的方法現在很普遍，像谷歌、微軟和雅虎這樣的大公司執行自己的程式，而小公司則依賴Bugcrowd和HackerOne這樣的平臺。...

早在8月份，DJI就啟動了一個bug賞金計劃，旨在獎勵那些發現了安全漏洞的研究人員。這種網路安全的方法現在很普遍，像谷歌、微軟和雅虎這樣的大公司執行自己的程式，而小公司則依賴Bugcrowd和HackerOne這樣的平臺。

不幸的是，DJI與白帽駭客合作的努力已經引起了爭議。Kevin Finisterre是一位安全研究員，他的早期關於DJI安全性的研究成為了頭條新聞，他昨天發表了一篇長篇文章，詳細描述了他在DJI的bug賞金計劃中的負面經歷。今天早上，它登上了美國科技界廣為閱讀的論壇“駭客新聞”的榜首。

菲尼斯特爾和他一起工作的一群駭客發現了DJI網路安全中的一個非常嚴重的漏洞。他們能夠獲得其SSL證書的私鑰，DJI意外地將其釋出在GitHub上，從而允許他們訪問儲存在DJI伺服器上的敏感客戶資訊。他問DJI這個問題是否在bug賞金的範圍內，DJI公司證實了這一點。菲尼斯特爾寫了一份詳細的報告。DJI批准了這項工作，並向他提供了3萬美元的賞金，這是他們的最高獎勵。

但DJI還沒來得及收貨，就把菲尼斯特爾的合同給毀了。實質上，它要求他不要公開討論他所做工作的細節，或者他根本沒有為DJI做過安全工作。對於菲尼斯特爾這樣的研究人員來說，公眾對這項工作的認可往往和金錢獎勵一樣有價值。在雙方就合同進行討價還價時，DJI的法律團隊發出了一封信，信中提到了《計算機欺詐和濫用法案》，Finister將該法案解釋為一種含蓄的威脅。他決定放棄這筆錢，把自己的經歷公之於眾。

“儘管我們在過去4年裡取得了很多進展，但對於組織來說，透過bug賞金與研究社群合作還是比較新穎的。Bugcrowd是一個bug賞金平臺，Bugcrowd的產品副總裁Jonathan Cran說：“對於那些在沒有準備的情況下就啟動的組織來說，被大量的高影響問題所淹沒的情況並不少見，這似乎是問題的一個重要部分。”。

“我們建議DJI儘快解決問題，而不是採取法律行動。“根據我們今天掌握的資訊，這似乎是一個誤解，並沒有惡意的意圖，”克蘭說Bug優惠以無與倫比的成本提供極高的質量結果—但正如我們向客戶強調的那樣，您需要一個合作伙伴。”

有一些臭蟲賞金專案要求研究人員嚴格遵守保密協議。像蘋果和聯合航空公司這樣的公司都要求研究人員保持相當的守口如瓶。但在研究投入時間發現、報告和提交bug之前，這個限制就已經明確了。通常會有一些公共信用。

在Finister重新釋出了他的賬戶後，DJI為其bug bounty計劃開通了一個官方網站，並向任何想要參與的人明確了其條款和條件。時間會告訴我們，它是否能夠修複與研究人員群體的關係，建立一個對雙方都有效的賞金計劃。