1樓:李力
翻了翻這位小哥的推特,感覺跟題主還有各位答主說的不太一致啊
首先,不是競爭對手公司
題中的白帽子Kevin Finisterre就職於Department 13,是一家做反無人機裝置的公司。
D13的反無人機裝置主要是通過破解各個廠家的無人機通訊鏈路來實現在空中劫持無人機。
但D13目前應該是還沒有成功破解DJI的圖傳協議。
其次,KF在與DJI郵件交涉bug bounty的期間,不斷地在Slack上自己i 建立的channel中呼籲其他的白帽子向其提交更多關於DJI的漏洞,美其名曰可以提高獎金份額。也就是KF在PDF中提到的teammate。
但,最後卻放棄了3萬刀的獎金。
所以,這是白帽子的名譽價值遠遠大於三萬刀還是背後的利益遠遠大於這3萬刀呢?
2樓:
2020 6 28 update:
發現這個答案突然多了一些贊同,想更新一下自己的回答。
最近在看CISSP的那本All in ONE,裡面有一句話讓我十分贊同
「現在有很多關於資訊保安的法律法規要求,企業主可能會去諮詢安全工程師相關的問題,但記住"if you are not a lawyer, do not try to be a lawyer"」
目前個人做隱私保護與合規的工作內容多了之後和公司的legal有很多的合作,在法律相關的問題上我們絕對是以legal同事的意見為準,如果legal判斷這個事情有法律風險,作為IT人員我們是一定會尊重的,咱們搞IT的真的沒有人家懂法律是怎麼回事兒。眾測這種活動如果甲方想發起的話,不要IT拍腦門就決定了,一定要去諮詢legal,免得出現問題這種情況。
個人感覺從企業的角度來講,對於白帽子以及各種眾測的態度是:
我請你來給我的房子做檢查,牆上是不是有漏洞,有沒有人能夠進來。
我希望白帽子提交的內容是,洞1、洞2、洞3。是怎麼發現的,如果我要進去,我會怎麼進去。最好還能提供漏洞的修補思路。
我收到白帽子提交的洞(比如私鑰洩露),我自己去驗證,這個漏洞會造成多麼大的危害。然後給漏洞評級,給白帽子獎勵。
我只是希望白帽子告訴我牆上有個洞。
但是白帽子告訴我:你牆上有個洞,而且我能從洞裡看到你媳婦在洗澡。
可能安全人員、技術人員覺得這不算什麼,反正看的也不是我媳婦。
但是老闆、或者是法務這種其他部門考慮這個問題的方式跟咱們是不一樣的,他們會覺得只是讓你來檢查牆面,你居然看我們老闆媳婦洗澡。
大概就是這種感覺吧。
我可以說傳統行業大多數老闆都是這麼想的。
現在白帽子的紅線比以前更敏感了,如果是好心的話。其實提交漏洞的時候就說這裡有個洞就行了,人家也會補上的。
如果是為了錢的話。。。從廠商這裡能弄到啥錢(攤手)
3樓:高玉龍
1、無傷大雅的漏洞隨便公布,給他一筆勞務費就行了,趕緊找工程師修補漏洞。
2、重大漏洞當然要封口,但是要支付一大筆費用,不能心疼錢。
3、發現重大漏洞的小哥如果隨便把漏洞公布,肯定和惡意攻擊沒啥區別。但是如果佣金談崩了,,,,這都能談崩,大疆的資訊保安部老總也該下崗了。
4樓:阿哲
沒自信就不要搞這種懸賞。微軟的系統經常被谷歌找到漏洞,然後谷歌的安全團隊有乙個有爭議的原則,一到期限就公開。結果有一次,微軟來不及發布補丁就被谷歌公開了。
雖然微軟相當不爽,但也就是公開表達了不滿,後續也沒啥。這兩家在不少領域可是針尖對麥芒的哦。
5樓:馬棗
我就想知道,如果不簽保密協議,然後在大疆補上bug之前宣揚出去,大疆不就會受到損失嗎?尤其是這麼敏感的使用者資訊保安問題,保密有什麼不對嗎?你發現漏洞,告訴我,我給你錢,別告訴別人~這不很自然嘛?
漏洞又不是用來昭告天下的,如果為了給自己加乙個小小的「勳章」,完全可以等漏洞補上了的啊。求專業人士解惑~我是不相信大疆想封口然後不改bug,那肯定是作死啊。
6樓:大仙
又乙個世紀佳緣事件,國內公司實在是吃相難看,自己做的爛人家好心指出來還要被搞。
真以為自己搞的是重點科研專案啊~~呵呵~~
如何看待大疆員工猝死?
Cathy 0 找適合自己的工作,包括體力,腦力,工作氛圍,公司文化1 做人最重要的是開心 2 人生苦短 猝死就更短了,想想100年前還是巴黎和會,現在早已是網際網路地球村,活得久的好處比一時的錢多重要多了,活久一點才能見證更多人類文明的變遷,這麼誘人的長遠利益沒有什麼損命折壽的短期利益可以比的 3...
如何看待大疆發布的osmo mobile3直接乾死osmo mobile2的做法了?
同樓上兄弟,我的osmo 1還沒說呢。對,就是圓圓的那款,跟悟1蛋蛋攝像頭一樣那個,沒用多久就出兒子版。現在都不知道出到哪個孫孫孫子版了。經過dji的洗禮,電子產品更新換代還真是快,長江後浪推前浪,前浪死在沙灘上 林桔子 這不是大疆的常態?對剛買2代產品不久的舊使用者可能會帶來一些不好的情緒,但相比...
如何看待大疆創新的維修服務?
我才是旭旭冉 大疆的售後維修服務可以說是逐步往精細化運營了。健康管理系統是 管家 又是 軍師 不僅能夠記錄植保機的歷史故障,還能對植保機進行實時的故障檢測,並給出直接有效的故障排查方案。當植保機出現故障時,使用者可以根據健康管理系統的提示和指引,輕鬆找出故障發生的位置 原因以及解決辦法。如噴灑系統顯...