如果用一个词形容厂商与白帽子之间的关系,大概就是相爱相杀吧。虽然多数情况厂商与这些漏洞发现者都保持融洽的关系,但也有不少案例是“相杀”。近期就发生了一件事,大疆和一位提供漏洞的白帽子发生争执,这位白帽子还直接 po 出长文挂了大疆。
白帽子 KF 的一击直球
事情是这样的,今年八月大疆推出了 bug bounty 项目,也就是安全响应中心,主要面向国外的白帽子,为鼓励他们提交漏洞大疆设置了根据问题严重程度从 100-30000 美元不等的奖金金额,涉及的问题包括软件安全、飞行安全以及应用程序稳定性等。
雷锋网从主角凯文·菲尼斯特尔(Kevin Finisterre)在推特po出的长文中了解到,Kevin 在看到这则消息后,邮件联系了大疆了解项目包括的具体范围,并在两周后得到大疆回复确认他提出的漏洞在项目范围内。
于是 Kevin 和搭档整理了长达 31 页的漏洞报告,其中指出他们获得了大疆意外发布至 GitHub 的 SSL 认证私钥,从而可以获得储存在大疆上的敏感用户信息。
简单说,由于大疆使用 Github 管理源代码,并且没有进行加密,导致部分私钥变公钥,诸如 SSL 密钥、AWS Key 等密匙可以在大疆服务器下载包括飞行日志在内的用户资料。
更可怕的是,这些钥匙已经明晃晃挂在 Github 上四年了……
总之,在了解漏洞后大疆提供给 Kevin 3 万美元的奖励金,Kevin 还兴冲冲地跑去给自己预定了一部特斯拉 Model 3。
但是,大疆对 Kevin 开出了条件,要求他签署 NDA (保密协议)。协议包含不能公开讨论工作细节,并且不能提到他曾经为大疆从事过信息安全方面的工作,以及不能向任何第三方泄露这些漏洞的全部细节。Kevin 的长文中还提到,在双方协商期间,大疆的法务团队曾发给他一封邮件,威胁如果不从的话,要用《计算机欺诈和滥用法》起诉他。
▲Kevin 文中取消 Model S 预订的截图
Kevin 认为这是种赤裸裸的威胁,因此他最终决定放弃这笔奖金(且取消了 Model S 的预定)并公开了自己的经历。
附上原文链接:http://www.digitalmunition.com/WhyIWalkedFrom3k.pdf
大疆反勾拳
对于 Kevin 的声明大疆则迅速反击。
主要针对几点内容:
第一,Kevin 在发现密钥后,没有像其他白帽子一样仅仅提交漏洞报告,而是利用该密钥下载了部分数据。这属于未经授权入侵大疆服务器的行为,可能侵犯用户隐私安全。
第二,与 Kevin 沟通后,其拒绝签订旨在保护用户隐私的保密协议,并就大疆拒绝其要求而对大疆进行了信息安全威胁。(所以到底是谁威胁谁?)另外,大疆方面告诉雷锋网,KF提出了无法满足的要求,包括执意要公布这一漏洞。而在谈判破裂后,KF和他的朋友确实不断在twitter上暗示自己得到了大疆的“保密数据”。“但这无法验证。讲句不恰当的话,KF或者是一个‘坏人’,或者是一个‘骗子’,但这都不是白帽子通常会做的事。”
第三,Kevin 就职于大疆某竞争公司 Department13,其旗下的产品与大疆的新型AeroScope系统构成直接竞争关系。而且大疆对雷锋网强烈表示,Kevin并非媒体口中的白帽子,曾经还因为黑入 3DR 被克里斯安德森封杀了 3DR 账号。
以下为11月16日大疆官方回应原文:
大疆创新正在调查一起未经授权入侵大疆服务器数据的信息安全事件,其中可能涉及大疆用户所提交的个人信息。为了保障用户数据安全,大疆已经聘请了一家独立的网络安全公司来进行调查,确定这一入侵事件的整体风险及带来的影响。
今天,一位获取了这些数据的黑客在网上公布了他与大疆员工的保密通信,称其试图获得大疆安全响应中心的“漏洞报告奖励”而被驳回。 事实上,该黑客通过大疆未公开的密钥以不当方式获得数据,这并不符合大疆安全响应中心的初衷与规则。
这位黑客在发现密钥后,并没有像其他白帽子一样仅仅提交漏洞报告,而是利用该密钥下载了部分数据。在大疆创新与其沟通后,他拒绝签订旨在保护用户隐私的保密协议,并就大疆拒绝其要求而对大疆进行信息安全威胁。
大疆创新建立安全应急响应中心以鼓励独立安全研究人员提交潜在的安全漏洞,其要求研究人员遵循的标准条款旨在倡导负责任的漏洞披露,保证在发掘过程中能够充分保护用户隐私,避免造成数据泄露损害用户利益。
大疆始终重视用户数据安全,并诚挚感谢研究人员负责任地发掘及披露可能影响大疆用户数据和大疆产品安全的技术问题,持续改进产品。自安全响应中心建立以来,大疆已向十几名同意标准条款并提交漏洞报告的安全研究人员支付了数千美元奖金。而这一项目还将继续进行,随着更多新漏洞报告的提交,大疆也将为更多安全研究人员支付奖金。
昨日大疆在上述声明的基础上补充了两个信息:
该黑客就职于Department13公司。该公司旗下的产品与大疆的新型AeroScope系统构成直接竞争关系。在大疆发布了AeroScope系统后,Department13的股价大幅下跌20%,跌至21个月以来的低点。
大疆高度重视客户数据的隐私保护,并不断采取措施提高数据的安全性。除非客户自主选择与大疆服务器同步飞行记录,或将照片或视频上传至天空之城,或将产品实物送至大疆进行维修,否则大疆绝不会访问无人机飞行期间生成的飞行记录,照片或视频等数据。
大疆告诉雷锋网,目前其已经重新部署了私钥。另一方面,大疆也透露截止发稿前两天,KF 仍在尝试用其他方法攻击大疆不同产品服务器。
显然,双方各执一词。