研究人員幫抓漏洞，被DJI當成「駭客」揚言提告!?

一如許多科技業者仰賴外部研究人員抓臭蟲，無人機大廠大疆（DJI）8月間也舉辦了抓蟲獎勵方案。只不過有安全漏洞的研究人員表示DJI卻反過來揚言控告他。
 
DJI在8月的抓蟲獎勵方案懸賞100到30,000美元給抓到DJI伺服器、硬體和app漏洞的研究人員。研究人員Kevin Finisterre在與DJI確認伺服器是否方案範疇，但未得到回音後，決定自行動工。他與其同事九月間在GitHub網站找到DJI網站SSL憑證的金鑰、韌體AES金鑰，經由這些金鑰可以直接存取DJI的許多機密資料。不僅如此，他還找到了DJI位於公開於Amazon Web Service S3雲端儲存服務的檔案夾金鑰。
 
Finisterre把這些發現做成了報告交給DJI，隨後被通知他獲得30,000美元最高獎項。不過之後進展卻急轉直下出現180度大轉彎。
 
後來DJI方面多次發信給他，首先通知他DJI伺服器並不在抓蟲獎勵方案的範疇中。接著又寄來一份比賽合約，合約條款表示不會針對研究漏洞的研究人員提供任何保護。最後他接獲來自DJI法務部門的郵件，要求他銷毁所有研究發現，否則他可能面臨DJI依據《電腦欺詐和濫用法》（Computer Fraud and Abuse Act，CFAA）對他提出告訴。最後Finisterre決定退出活動。
 
DJI發言人對媒體發出聲明表示，該公司正在調查未經授權存取DJI伺服器的行為，而取得這批資料的「駭客」卻將他和DJI員工關於本次抓蟲方案的祕密通訊貼上網路。DJI並指出，為確保資料隱私及提供分析、漏洞修補時間，該公司要求研究遵守方案的標準條款，但該駭客拒絕遵守，並反過來威脅DJI。不過並未說明如何威脅。
 
根據DJI現有抓蟲獎勵方案網站，研究範疇應排除第三方網站或服務，包括DJI應用內的第三方軟體。不過不確定這網站上線的時間點。