Phantomシリーズを始めとしたセミプロ~プロ向けドローンで知られるDJIは、この8月からバグ報奨金プログラムを開始しました。ところが、重大なシステム上の問題と欠陥を発見し、報告したとあるハッカーは、DJIの姿勢に疑問を感じてプログラムから離脱、賞金の受け取りを辞退したことを明らかにしました。
ハッカーが発見したバグを公表前に報告してもらい、かわりに報奨金を出す取り組みは、Googleやマイクロソフト、アップルなどをはじめとして、いまや多くの企業が取り入れ、製品やサービスのセキュリティ向上に役立てています。
Kevin Finisterre氏は、DJIがGitHubに誤って公開していたSSL証明書の秘密鍵を入手し、その鍵を使ってDJIのサーバーに保存される機密情報にアクセスできることを発見しました。そしてDJIに対しこの発見がバグ報奨金プログラムの対象かどうかを尋ねたところ、報告書と引き換えにプログラムの最高額となる3万ドルを支給するとの返答を得ました。
ところが、31ページにもわたる詳細な報告書を作って提出したFinisterre氏を待ち受けていたのは、DJIとのセキュリティ改善に向けた協力ではなく、脆弱性に関する内容を公にしないよう求める契約でした。
Finisterre氏のようなホワイトハッカーにとって、自身が発見した脆弱性を活動実績として公表することが重要です。しかし、契
スポンサーリンク
DJIに脆弱性報告のハッカー、報奨金3万ドルを突き返す。実績公表禁じる契約、法的措置ちらつかされ反発
IT起業ニュース
コメント