八月的时候,大疆就如其他的科技公司一样推出了漏洞悬赏计划,让安全研究员能回报他们在 DJI 软件里的发现到的漏洞,并会按问题的严重性发出 100 美元至 30,000 美元作为回报。可是根据安全研究员 Kevin Finisterre 的文章,以及 The Verge 的报道,这个悬赏计划似乎未有一如我们预期的在运作呢。据 Finisterre 在描述他与大疆交涉的始末中,他在回报问题之前,曾经有向大疆确认过这个漏洞是否属于悬赏计划的范围内,并通过这计划提交回报,大疆方面虽没有即时回复,但一段时间后也予以确认。在进一步的研究后,Finisterre 向大疆提交了总共 31 页的详细报告,里头有着他与其同事所找到的软件漏洞,包括大疆的 SSL 凭证密钥的漏洞 -- 这在 GitHub 上被曝光过的漏洞,可让 Finisterre 存取到大疆服务器上存储的客户资料。

Finisterre 在提交报告后,大疆表示这漏洞价值 30,000 美元。但随之而来的就是一系列有关回报协议的商讨过程,而且内容更集中在 Finisterre 对于这漏洞的封口令。在与不同律师讨论过后,Finisterre 认为这协议是弊多于利,大疆的目的是在于发现漏洞的人都需要在签署协议后保持缄默。而且在大疆发出信件表示 Finisterre 没有被授权存取该公司服务器之后,他们更保留以《电脑欺诈和滥用法案》追讨的权利。结果 Finisterre 放弃了这份协议。

大疆对这次事件发出声明,指他们要求研究者按照标准条款来参与漏洞悬赏计划,为的是保护机密资料,和让他们在漏洞向公众释出之前能有时间分析和解决问题。大疆表示他们即使不断尝试谈判,但认为这位黑客并不同意条款内容,并威胁需要满足他的要求。双方各执一词的结果,就是让大家都不欢而散,这也大大减少其他安全研究员在参与漏洞回报计划时的积极性。但说真的,安全研究员想公开自己的发现,而厂商想保密,好像都是很合理的事,很难说在这种情况下谁对谁错啊?

这种漏洞悬赏计划在科技界是相当广泛,三星苹果、Twitter、Facebook,甚至暗网的黑市市场也有应用。不过要计划行之有效,他们需要清楚阐明悬赏计划的条款,但大疆最近才把有关的漏洞悬赏计划详情放到网站上。