Если вы используете одно слово для описания отношений между производителями и белыми шляпами, это, вероятно, любовь и убийство друг друга.
Хотя в большинстве случаев производители поддерживают гармоничные отношения с этими обнаруживателями уязвимостей, также нередки случаи «убийства друг друга». Недавний инцидент произошел: у DJI был спор с белой шляпой, которая предоставила лазейки.Белая шляпа также напрямую разместила длинную статью в DJI.
Прямой выстрел KF в белой шляпе
Дело в том, что в августе этого года DJI запустила проект поощрения ошибок, который представляет собой Центр реагирования на ошибки, который в основном предназначен для иностранных белых шляп.Сумма бонуса и связанные с этим вопросы включают безопасность программного обеспечения, безопасность полетов и приложения. стабильность.
Lei Feng.com узнал из длинного сообщения главного героя Кевина Финистерре в Твиттере, что, увидев новость, Кевин связался с DJI по электронной почте, чтобы понять конкретный масштаб проекта, и через две недели DJI ответил, что предложенная им уязвимость была в рамках проекта.
Поэтому Кевин и его партнер составили 31-страничный отчет об уязвимостях, в котором говорилось, что они получили SSL-сертифицированный закрытый ключ, который DJI случайно опубликовала на GitHub, что позволило им получить доступ к конфиденциальной пользовательской информации, хранящейся на серверах DJI.
Проще говоря, поскольку DJI использует Github для управления исходным кодом и не шифрует его, некоторые закрытые ключи становятся открытыми Ключи, такие как ключи SSL и ключи AWS, могут загружать пользовательские данные, включая журналы полетов, на сервер DJI.
Еще страшнее то, что эти ключи уже четыре года висят на Github...
Короче говоря, узнав об уязвимости, DJI предложила Кевину вознаграждение в размере 30 000 долларов, и Кевин взволнованно побежал, чтобы заказать Tesla Model 3 для себя.
Однако DJI поставила Кевину условия для подписания NDA (соглашение о неразглашении). Соглашение включало в себя не обсуждение деталей работы публично, не упоминание о том, что он работал над информационной безопасностью для DJI, а также не разглашение полных деталей уязвимостей какой-либо третьей стороне. В длинной статье Кевина также упоминается,Во время переговоров между двумя сторонами команда юристов DJI отправила ему электронное письмо с угрозой подать на него в суд в соответствии с Законом о компьютерном мошенничестве и злоупотреблениях, если он не подчинится.
▲Скриншот отмены бронирования Model S в статье Кевина
Кевин увидел в этом явную угрозу, поэтому в конце концов решил отказаться от бонуса (и отменить бронирование Model S) и рассказать о своем опыте.
Прикрепил оригинальную ссылку:woohoo.digital munition.com/почему я ходил F…
Задний крючок DJI
DJI быстро отреагировал на заявление Кевина.
В основном для нескольких вещей:
Во-первых, обнаружив ключ, Кевин не просто отправил отчет об уязвимости, как другие белые шляпы, а использовал ключ для загрузки некоторых данных. Это несанкционированное вторжение на сервер DJI, которое может нарушить конфиденциальность пользователя.
Во-вторых, после общения с Кевином он отказался подписывать соглашение о неразглашении, призванное защитить конфиденциальность пользователей, и пригрозил DJI информационной безопасностью за отказ в его просьбе. (Так кто кому угрожает?) Кроме того, DJI сообщил Lei Feng.com, что KF выдвинул неудовлетворительные требования, в том числе настаивал на публикации этой лазейки. И после того, как переговоры прервались, К.Ф. и его друзья продолжали предлагать в Твиттере, что они получили «конфиденциальные данные» DJI. «Но это не поддается проверке. KF либо «плохой парень», либо «лжец», если говорить неуместно, но это не то, что обычно делают белые шляпы».
В-третьих, Кевин работает в компании Department13, конкурирующей с DJI, продукция которой напрямую конкурирует с новой системой DJI AeroScope.Более того, DJI решительно заявила Lei Feng.com, что Кевин не белая шляпа в устах СМИ, а Крис Андерсон заблокировал его учетную запись 3DR за взлом 3DR.
Ниже приводится оригинальный официальный ответ DJI от 16 ноября:
DJI расследует инцидент информационной безопасности, связанный с несанкционированным вторжением в данные сервера DJI, который может включать личную информацию, предоставленную пользователями DJI. Чтобы защитить безопасность пользовательских данных, DJI наняла независимую компанию по сетевой безопасности для проведения расследования, чтобы определить общий риск и последствия нарушения.
Сегодня хакер, получивший доступ к данным, опубликовал в сети свою конфиденциальную переписку с сотрудниками DJI, заявив, что она была отклонена как попытка получить «награду за сообщения об ошибках» от DJI Security Response. На самом деле хакер получил данные ненадлежащим образом с помощью нераскрытого ключа DJI, что не соответствует первоначальному замыслу и правилам Центра реагирования безопасности DJI.
После того, как хакер обнаружил ключ, вместо того, чтобы просто отправить отчет об уязвимости, как другие белые шляпы, он использовал ключ для загрузки некоторых данных. После того, как DJI связалась с ним, он отказался подписать соглашение о неразглашении, призванное защитить конфиденциальность пользователей, и пригрозил DJI информационной безопасностью за отказ от его запроса.
DJI создала Центр реагирования на чрезвычайные ситуации в области безопасности, чтобы поощрять независимых исследователей в области безопасности сообщать о потенциальных уязвимостях безопасности.Стандартные условия, которых он требует от исследователей, предназначены для пропаганды ответственного раскрытия уязвимостей, обеспечения полной защиты конфиденциальности пользователей в процессе обнаружения и предотвращения причинения вреда. Утечка данных наносит ущерб интересам пользователей.
DJI всегда придает большое значение безопасности пользовательских данных и искренне благодарит исследователей за ответственное обнаружение и раскрытие технических проблем, которые могут повлиять на безопасность пользовательских данных DJI и продуктов DJI, а также за постоянное улучшение продуктов. С момента создания Центра реагирования на проблемы безопасности DJI выплатила вознаграждения в размере тысяч долларов более чем дюжине исследователей в области безопасности, которые согласились на стандартные условия и представили отчеты об уязвимостях. И этот проект будет продолжаться, и по мере поступления новых отчетов об уязвимостях DJI также будет выплачивать вознаграждение большему количеству исследователей безопасности.
Вчера DJI добавил две части информации на основе приведенного выше заявления:
Хакер работает в Департаменте 13. Продукция компании напрямую конкурирует с новой системой DJI AeroScope. Акции Department13 упали на 20% до 21-месячного минимума после того, как DJI выпустила систему AeroScope.
DJI придает большое значение защите конфиденциальности данных клиентов и постоянно принимает меры для повышения безопасности данных. DJI никогда не получит доступ к записям полетов, созданным во время полета дрона, если только клиент не решит синхронизировать записи полетов с сервером DJI, загрузить фотографии или видео в Sky City или отправить фактический продукт в DJI для ремонта, такие данные, как фотографии или видео. .
DJI сообщила Leifeng.com (публичная учетная запись: Leifeng.com), что повторно развернула закрытый ключ. С другой стороны, DJI также сообщила, что за два дня до пресс-релиза KF все еще пытается использовать другие методы для атаки на серверы различных продуктов DJI.
Ясно, что обе стороны не согласны.
Источник ссылки: сказал Игл (общедоступный аккаунт WeChat: joeytalks)
Оригинальную статью Lei Feng.com запрещается перепечатывать без разрешения. Подробнее см.Уведомление о перепечатке.