至今年10月,大疆已經(jīng)同意向多名安全研究人員,支付超過數(shù)萬美元的獎(jiǎng)金,其中包括至少一個(gè)30,000美元的“頂級(jí)獎(jiǎng)金”。
今年8月起,大疆發(fā)起了大疆威脅識(shí)別獎(jiǎng)賞計(jì)劃(DJI Threat Identification Reward Program)。號(hào)召全球的用戶和專家來披露和舉報(bào)大疆軟件的漏洞,根據(jù)漏洞威脅的嚴(yán)重程度,舉報(bào)者可獲最高達(dá)30,000 美元的獎(jiǎng)金。根據(jù)幾位舉報(bào)漏洞的研究人員證實(shí),他們目前上報(bào)的大疆軟件漏洞錯(cuò)誤報(bào)告,已得到了大疆的確認(rèn),大疆的軟件確實(shí)存在報(bào)告中提到的漏洞?,F(xiàn)在這幾位研究人員已經(jīng)將個(gè)人的銀行信息提交給了大疆,就等大疆的獎(jiǎng)金到賬。
大疆向安全研究員發(fā)的消息
根據(jù)大疆威脅識(shí)別獎(jiǎng)賞計(jì)劃的官方人員透露:
大疆威脅識(shí)別獎(jiǎng)賞計(jì)劃旨在收集研究人員和其他用戶發(fā)現(xiàn)問題,這些問題可能會(huì)對(duì)用戶私人數(shù)據(jù)的完整性造成嚴(yán)重威脅,例如他們的個(gè)人信息或照片、視頻和飛行日志等詳細(xì)信息。該計(jì)劃還在尋找可能揭示專有源代碼和密鑰或可以以繞過安全認(rèn)證后門漏洞。根據(jù)漏洞威脅的潛在影響,符合條件的舉報(bào)者將獲得從100美元到30,000美元不等的獎(jiǎng)勵(lì),大疆正在開發(fā)一個(gè)具有完整程序條款和標(biāo)準(zhǔn)化表單的網(wǎng)站,用于報(bào)告與DJI的服務(wù)器、應(yīng)用程序或硬件相關(guān)的潛在威脅。目前舉報(bào)者的漏洞報(bào)告可以發(fā)送到郵箱:bugbounty@dji.com,供大疆的技術(shù)專家審閱。
大疆目前還沒有公布已被舉報(bào)的漏洞以及漏洞的解決方案。
近些年來由于各地黑飛,對(duì)無人機(jī)行業(yè)造成了許多負(fù)面影響。世界各地的政府和組織對(duì)無人機(jī)開始變得不那么友好。雖然大疆后來開始對(duì)其產(chǎn)品使用進(jìn)行了諸多限制,但是還是存在著不少安全隱患。像美國軍方就因?yàn)?ldquo;網(wǎng)絡(luò)漏洞”的問題,停止使用了大疆的無人機(jī)。后來大疆發(fā)起的大疆威脅識(shí)別獎(jiǎng)賞計(jì)劃無疑讓大疆獲得了,找到其產(chǎn)品存在BUG的最快途徑。雖然要付出美金作為代價(jià),但比其他方法,大疆不僅可以獲得自己產(chǎn)品的漏洞信息,還能和世界各地為大疆舉報(bào)漏洞的專家和用戶建立起良好的關(guān)系。
如果你也發(fā)現(xiàn)了大疆軟件的漏洞,歡迎將你發(fā)現(xiàn)的漏洞提交到郵箱:bugbounty@dji.com,說不定下一個(gè)那獎(jiǎng)金的人就是你了。