大疆被曝威胁漏洞发现者 回应称是该黑客未经授权私自下载用户数据

针对网上曝出的因大疆漏洞奖励计划引发的黑客纠纷，大疆官方回应称该黑客目前在有直接竞争关系的公司工作，最主要的是他未经大疆授权，通过未公开的密钥入侵大疆服务器，私自下载了部分用户数据。

事件起源于今年8月，大疆启动了一项漏洞奖励计划，奖励发现信息安全漏洞的研究人员。近日，信息安全研究员凯文·菲尼斯特尔（Kevin Finisterre）发布了一篇长文，讲述了他参与大疆漏洞奖励计划的糟糕经历。

菲尼斯特尔称，自己与合作的其他黑客共同发现了大疆网页安全的一个严重漏洞。他们获得了大疆意外发布至GitHub的SSL认证私钥，从而可以获得储存在大疆服务器上的敏感用户信息。大疆为此提供了3万美元的最高奖金。

不过，大疆也对菲尼斯特尔开除了条件，要求他不能公开讨论工作细节，甚至不要提到他曾经为大疆从事过信息安全方面的工作。据菲尼斯特尔长文描述，在双方协商期间，大疆的法务团队甚至发给他一封邮件，威胁如果不从的话，要用《计算机欺诈和滥用法》起诉他。菲尼斯特尔认为这是种赤裸裸的威胁。他最终决定放弃这笔奖金，并公开了自己的经历。

对此，大疆在11月21日的回应中表示，菲尼斯特尔在发现密钥后，没有像其他白帽子一样仅仅提交漏洞报告，而是利用该密钥下载了部分数据。这属于未经授权入侵大疆服务器的行为，可能侵犯用户隐私安全。

大疆官方称，在与其沟通后，是菲尼斯特尔拒绝签订旨在保护用户隐私的保密协议，并就大疆拒绝其要求而对大疆进行了信息安全威胁。

同时，大疆称目前已经聘请了一家独立的网络安全公司来进行调查，确定这一入侵事件的整体风险及带来的影响。（完）

以为大疆官方回应全文：

今日，有媒体翻译转载国外媒体对大疆安全响应中心与一名“安全研究人员”纠纷的新闻报道。对此，大疆已于16日发布声明。在这里也希望就背景信息作出更多澄清。

该黑客就职于Department13公司。该公司旗下的产品与大疆的新型AeroScope系统构成直接竞争关系。在大疆发布了AeroScope系统后，Department13的股价大幅下跌20%，跌至21个月以来的低点。

大疆高度重视客户数据的隐私保护，并不断采取措施提高数据的安全性。除非客户自主选择与大疆服务器同步飞行记录，或将照片或视频上传至天空之城，或将产品实物送至大疆进行维修，否则大疆绝不会访问无人机飞行期间生成的飞行记录，照片或视频等数据。

大疆创新正在调查一起未经授权入侵大疆服务器数据的信息安全事件，其中可能涉及大疆用户所提交的个人信息。为了保障用户数据安全，大疆已经聘请了一家独立的网络安全公司来进行调查，确定这一入侵事件的整体风险及带来的影响。

今天，一位获取了这些数据的黑客在网上公布了他与大疆员工的保密通信，称其试图获得大疆安全响应中心的“漏洞报告奖励”而被驳回。

事实上，该黑客通过大疆未公开的密钥以不当方式获得数据，这并不符合大疆安全响应中心的初衷与规则。

这位黑客在发现密钥后，并没有像其他白帽子一样仅仅提交漏洞报告，而是利用该密钥下载了部分数据。在大疆创新与其沟通后，他拒绝签订旨在保护用户隐私的保密协议，并就大疆拒绝其要求而对大疆进行信息安全威胁。

大疆创新建立安全应急响应中心以鼓励独立安全研究人员提交潜在的安全漏洞，其要求研究人员遵循的标准条款旨在倡导负责任的漏洞披露，保证在发掘过程中能够充分保护用户隐私，避免造成数据泄露损害用户利益。

大疆始终重视用户数据安全，并诚挚感谢研究人员负责任地发掘及披露可能影响大疆用户数据和大疆产品安全的技术问题，持续改进产品。自安全响应中心建立以来，大疆已向十几名同意标准条款并提交漏洞报告的安全研究人员支付了数千美元奖金。而这一项目还将继续进行，随着更多新漏洞报告的提交，大疆也将为更多安全研究人员支付奖金。