大疆和一个白帽子的故事

今天文章的封面是一个白帽子，或者说安全研究员，名叫 Kevin Finisterre. 他是今天故事的主角。

几个月前，大疆启动了一项安全漏洞奖励计划。为发现大疆系统和服务安全漏洞的安全研究者（也称白帽子）提供 100 到 30000 美元不等的奖金。

Kevin 看到这个消息，给大疆发了一封邮件询问这个计划包括的详细范围。不得不提一句，这是老司机的做法。因为打着悬赏的旗号要免费漏洞而且最后不认账的公司太多了，多少白帽子为此心碎过。

大疆在 2 周后回信，确认 Kevin 提出的范围在悬赏范围内。

于是 Kevin 一通忙活，辛苦几周之后，给大疆提供了一份多达 31 页的漏洞报告。这份报告主要包括的漏洞其实就只有一个，为了让大家看得明白我用一张图片应该就能解释清楚：

什么意思呢？大疆的工程师在使用著名的同性交友平台 Github 管理他们的源代码。与此同时『不小心』把本应该保密的部分私有代码变成了人人都可访问的公开代码。好死不死，这些代码里有大疆的很多数据钥匙。比如 SSL 密钥，比如上图里的 AWS Key 和密钥。

而这些钥匙，在 Github 上『我家大门常打开』状态保持最久的，有 4 年。

Kevin 进一步验证了利用这些密钥，可以从大疆的服务器上下载大量用户文件，包括飞行日志。

大疆的工程师一脸懵逼，在和 Kevin 通了 130 多封邮件之后终于搞明白这事有多大。然后进一步确认了， Kevin 的这个发现，按照大疆的奖励计划，价值 3 万美元——顶格奖励。

这中间还发生了一些故事，因为以为自己能赚到这笔钱，Kevin 兴冲冲地跑去给自己预定了一部特斯拉 Model 3.

结果是一定会逆转的。

大疆在准备支付这笔奖金之前，给 Kevin 寄去了一份措辞严格的法律文件，需要 Kevin 签署 NDA （保密协议）。作为 NDA 的一部分，Kevin 需要为潜在的可能泄露这些漏洞所造成的后果负责，并且他不能向任何第三方泄露这些漏洞的全部细节。

必须说一句，这种方式在安全领域是对白帽子极其不公平不尊重的。姑且不论 Kevin 的工作成果是否仅仅价值 3 万美金，安全界的漏洞公布及署名权是一种江湖地位和声誉的体现。仅有严格受雇的安全研究人员才会接受雇主的要求，对研究成果保密。第三方漏洞发现者的披露权和署名权是基本权利，这一点上，微软和苹果做得都不错。

国内？大概率你会收到这种回复。