无人机制造商DJI声称他们的服务器已经被黑了,这是一个可能影响数千个澳大利亚无人机所有者的举动。
未经授权的攻击是关注的GPS,位置跟踪器信息在DJI服务器上保持。
凯文·菲尼斯特声称他在查找公开发布在代码共享站点GitHub上的私钥后访问了机密客户数据。
他接近该公司,该公司提供了“Bug赏金”奖励,高达30,000美元用于其系统中发现的安全弱点。
DJI表示,服务器访问是“未经授权”的。
他说,Data Mr Finisterre能够看到包含的“未加密的飞行日志,护照,驾驶执照和身份证”。
尽管最初为他提供了这笔钱,但在一份声明中,DJI目前指责拒绝拒绝先生拒绝旨在保护机密数据并留出在公开之前进行分析和解决漏洞的时间来同意其错误赏金计划的条款。披露“。
它补充说:“DJI非常认真地进行数据安全性,并继续通过负责任地发现和披露可能影响DJI用户数据和DJI产品的安全问题的研究人员来继续提高其产品。”
它补充说,它将继续支付Bug奖金以换取报告。
一位独立的安全研究员菲尼斯特先生表示,DJI试图让他签署一项非披露协议。
他还发布了一封来自DJI的电子邮件,告诉他与服务器的安全问题包含在Bug Bounty程序中。
'言论自由'
他说,在与他分享的完整条款之前,他派出了他的报告后几乎是一个月,并且他认为他们“向包括我言语自由的许多事情引起了直接的利益冲突”。
根据他在他的报告中发表的公司的电子邮件,据他发表的公司的电子邮件,据他刊登的电子邮件,其中一名条款证明他无法公开披露他的研究。
通常,安全研究人员将与公司分享调查结果,为该公司提供一个用于修复所识别的错误的时间范围,然后发布他们的工作。
许多大型技术公司提供的BUG赏金方案作为人们分享安全弱点而不是利用它们的激励。
萨里大学的网络安全专家艾伦伍德沃德表示,DJI的行为是“令人愤慨的”。
“网络安全是没有政府组织或中央机构或标准机构持有这些人的地区的领域之一。他说,这是道德黑客和安全研究人员,“他说。”公众有权知道什么时候有安全问题。“