今年 8 月份的時候，大疆發(fā)起了一個“懸賞除蟲”項目，旨在吸引安全研究人員提交相關漏洞。根據(jù) bug 的嚴重程度，參與者可獲得 100 到 30000 美元不等的獎金。活動開始沒幾天，研究人員 Kevin Finisterre 就立即聯(lián)系該公司，匯報了一個相當嚴重的問題 —— 大疆的 SSL 證書和 AES 加密密鑰已被公開在 GitHub 上。在新密鑰被創(chuàng)建和部署之前，當前的加密措施將形同虛設。

　　據(jù) Finisterre 所述，其匯報的問題理應包含在大疆的漏洞獎賞項目之內。在經(jīng)過了長時間的電子郵件溝通之后，大疆提出了要對此事嚴格保密的協(xié)議要求。

　　­雖然大疆此舉是為了防止漏洞被公開利用，但對安全研究人員來說，被認可和獲得金錢獎勵一樣重要。

　　要領取這筆獎金，F(xiàn)inisterre 不得不簽署這份對他而言不公平、未對其未來的法律行動提供保護的協(xié)議。更遺憾的是，大疆還向他發(fā)出了“計算機欺詐和濫用行為”的威脅。

　　­在與多名律師討論后，F(xiàn)inisterre 決定放棄獎金以遠離是非，并將其發(fā)現(xiàn)公之于眾。感興趣的網(wǎng)友們可以自由地閱讀他披露的全部信息（PDF），并得出自己的結論。

　　[編譯自：TechSpot]

　　最新消息》》黑客稱參加大疆捉蟲活動后受威脅 官方回應（原文出處：cnBeta）

　　大疆回應稱，該黑客通過大疆未公開的密鑰以不當方式獲得數(shù)據(jù)，這并不符合大疆安全響應中心的初衷與規(guī)則。以下是官方回應全文：

　　有媒體翻譯轉載國外媒體對大疆安全響應中心與一名"安全研究人員"糾紛的新聞報道。對此，大疆已于16日發(fā)布聲明。在這里也希望就背景信息作出更多澄清。

　　該黑客就職于Department13公司。該公司旗下的產(chǎn)品與大疆的新型AeroScope系統(tǒng)構成直接競爭關系。在大疆發(fā)布了AeroScope系統(tǒng)后，Department13的股價大幅下跌20％，跌至21個月以來的低點。

　　大疆高度重視客戶數(shù)據(jù)的隱私保護，并不斷采取措施提高數(shù)據(jù)的安全性。除非客戶自主選擇與大疆服務器同步飛行記錄，或將照片或視頻上傳至天空之城，或將產(chǎn)品實物送至大疆進行維修，否則大疆絕不會訪問無人機飛行期間生成的飛行記錄，照片或視頻等數(shù)據(jù)。

　　以下是聲明原文，供參考發(fā)表：

　　大疆創(chuàng)新正在調查一起未經(jīng)授權入侵大疆服務器數(shù)據(jù)的信息安全事件，其中可能涉及大疆用戶所提交的個人信息。為了保障用戶數(shù)據(jù)安全，大疆已經(jīng)聘請了一家獨立的網(wǎng)絡安全公司來進行調查，確定這一入侵事件的整體風險及帶來的影響。

　　今天，一位獲取了這些數(shù)據(jù)的黑客在網(wǎng)上公布了他與大疆員工的保密通信，稱其試圖獲得大疆安全響應中心的"漏洞報告獎勵"而被駁回。

　　事實上，該黑客通過大疆未公開的密鑰以不當方式獲得數(shù)據(jù)，這并不符合大疆安全響應中心的初衷與規(guī)則。

　　這位黑客在發(fā)現(xiàn)密鑰后，并沒有像其他白帽子一樣僅僅提交漏洞報告，而是利用該密鑰下載了部分數(shù)據(jù)。在大疆創(chuàng)新與其溝通后，他拒絕簽訂旨在保護用戶隱私的保密協(xié)議，并就大疆拒絕其要求而對大疆進行信息安全威脅。

　　大疆創(chuàng)新建立安全應急響應中心以鼓勵獨立安全研究人員提交潛在的安全漏洞，其要求研究人員遵循的標準條款旨在倡導負責任的漏洞披露，保證在發(fā)掘過程中能夠充分保護用戶隱私，避免造成數(shù)據(jù)泄露損害用戶利益。

　　大疆始終重視用戶數(shù)據(jù)安全，并誠摯感謝研究人員負責任地發(fā)掘及披露可能影響大疆用戶數(shù)據(jù)和大疆產(chǎn)品安全的技術問題，持續(xù)改進產(chǎn)品。自安全響應中心建立以來，大疆已向十幾名同意標準條款并提交漏洞報告的安全研究人員支付了數(shù)千美元獎金。而這一項目還將繼續(xù)進行，隨著更多新漏洞報告的提交，大疆也將為更多安全研究人員支付獎金。