大疆漏洞獎勵計劃引發(fā)爭議：信息安全研究員遭威脅

北京時間11月21日午間消息，今年8月，大疆啟動了漏洞獎勵計劃，獎勵發(fā)現(xiàn)信息安全漏洞的研究人員。然而，這方面的工作正在給大疆帶來爭議。

信息安全研究員凱文·菲尼斯特爾（Kevin Finisterre）本周發(fā)布了一篇長文，講述了他參與大疆漏洞獎勵計劃的糟糕經(jīng)歷。這篇文章隨后登上了美國最主要技術(shù)討論版Hacker News的頭條。

菲尼斯特爾與合作的其他黑客共同發(fā)現(xiàn)了大疆網(wǎng)頁安全的一個嚴(yán)重漏洞。他們獲得了大疆意外發(fā)布至GitHub的SSL認(rèn)證私鑰，從而可以獲得儲存在大疆服務(wù)器上的敏感用戶信息。他詢問大疆，這個問題是否屬于漏洞獎勵的范疇，大疆做出了確認(rèn)。因此，菲尼斯特爾提交了一份詳細(xì)報告。大疆批準(zhǔn)了他的申請，并提供了3萬美元的最高獎金。

不過，在發(fā)給菲尼斯特爾的合同中，大疆要求他不能公開討論工作細(xì)節(jié)，甚至不要提到他曾經(jīng)為大疆從事過信息安全方面的工作。然而對類似菲尼斯特爾的研究員來說，公眾認(rèn)可同樣很重要。在雙方協(xié)商期間，大疆的法務(wù)團(tuán)隊發(fā)來一封郵件，威脅用《計算機欺詐和濫用法》起訴他。菲尼斯特爾認(rèn)為，這是種赤裸裸的威脅。他最終決定放棄這筆獎金，并公開自己的經(jīng)歷。

漏洞獎勵平臺Bugcrowd產(chǎn)品副總裁喬納桑·克蘭（Jonathan Cran）對此表示，大疆應(yīng)當(dāng)盡快解決問題，而不是威脅采取法律行動。