中国のドローンメーカーDJIは最近、バグ報奨金プログラムを開始し、セキュリティ専門家のケビン・フィニスターレ氏にセキュリティの脆弱性を探すよう促した。彼は探していたものをすぐに見つけ、攻撃者が DJI サーバーから機密性の高い顧客データにアクセスできるようにする脆弱性を発見しました。これには、政府や軍に近いアカウントからの飛行記録も含まれていました。
フィニステーレ氏は当初、DJI によって優勝者として発表されました
フィニステーレ氏は DJI に連絡し、その後同社が彼の発見を検討し、最終的に最高の報酬として 30,000 ドルを受け取ることを彼に通知しました。彼がしなければならなかったのは合意書に署名することだけだったが、フィニステレ氏によれば、これには非常に疑問があったという。したがって、問題の論文は、彼自身が書いているように、研究者に「まったく保護されない」ことを提供し、「研究を遂行する」権利を脅迫した。複数の弁護士もこの点を指摘した。
DJIはフィニステレ氏をハッカーとみなしている
試みにもかかわらず、DJI との合意には至りませんでした。その代わりに、会社は彼に、見つけた情報はすべて破棄するように言いました。彼はまた、コンピュータ詐欺および濫用法に基づいて訴追されると脅迫された。このため、彼は研究結果とそれに対応する声明を報酬なしで発表することに決めました。 DJI との電子メール通信もそこにあります。
DJIはArs Technicaへの声明の中で、この事件について詳しくは述べず、フィニステーレ氏をデータに不正アクセスした「ハッカー」だと説明した。リクエストに応じてフューチャーゾーンにも送られた公式声明の中で、同社は次のように述べている:「DJIは研究者に、機密データを保護し、分析に十分な時間を与えることを目的としたバグ報奨金プログラムの標準利用規約に従うことを求めている」脆弱性が公開される前に解決されます。問題のハッカーは、DJI が何度も交渉を試みたにもかかわらず、これらに同意することを拒否し、条件が満たされない場合は DJI を脅迫しました。」
セキュリティ上のギャップを外部から探すことが有利な収入源となる
製品のセキュリティ関連のエラーを発見した企業に報酬を与える、いわゆるバグ報奨金プログラムが現在広く普及しています。脆弱性の発見は、専門家にとって合法的で有利な収入源となると同時に、脆弱性が悪用されるのではなく報告された場合にサービスの安全性を高めるのに役立ちます。