ล่าสุด

DJI ขู่จะฟ้องคนหาช่องโหว่เจอ จากโครงการล่ารางวัล

DJI ขู่จะฟ้องคนหาช่องโหว่เจอ จากโครงการล่ารางวัล

เมื่อเดือนสิงหาคมที่ผ่านมา ทาง DJI ได้ประกาศโครงกาลตามล่าหา bug หรือข้อช่องโหว่ในโปรแกรมที่ชื่อว่า “bug bounty program” โดยเป็นโครงการที่จะให้รางวัลกับผู้ที่สามารถค้นหาช่องโหว่ในตัวซอฟแวร์เจอ

ทาง DJI ระบุว่าจะมีการจ่ายเงินรางวัลตั้งแต่ $100 USD จนถึง $30,000 USD หรือราวๆ 3000 บาท จนถึง 1 ล้านบาท ขึ้นอยู่กับความร้ายแรงของข้อผิดพลาดนั้นๆ

แต่จากบทความที่เขียนโดยนักวิจัยด้านความปลอดภัยที่ชื่อ Kavin Finisterre และถูกตีพิมพ์ผ่าน Verge โครงการนี้เริ่มต้นได้ไม่สวยนัก

โดยในรายงานฉบับนั้น Kavin ได้แจกแจงการติดต่อสื่อสารกับทาง DJI ทั้งก่อนและหลังจากที่เขาได้รายงานช่องโหว่ที่ดูเหมือนเป็นเรื่องร้ายแรงในแง่ความปลอดภัยของบริษัทผู้ผลิตโดรนรายนี้

ซึ่งก่อนที่เขาจะลงมือจริงๆจังๆกับการค้นหาช่องโหว่ในซอฟท์แวร์นั้น เขาได้ติดต่อสอบถามกับทาง DJI ว่า ตัว server นั้นอยู่ในเงื่อนไขการตามล่าหาบักชิงรางวัลนี้หรือไม่ โดยแม้ทาง DJI จะใช้เวลาสักพักในการตอบคำถามเขาแต่สุดท้ายทาง DJI ก็ให้คำตอบว่าตัว server นั้นรวมอยู่ในโครงการนั้นด้วย

จนเมื่อเวลาผ่านไปทางคุณ Kavin ก็ได้พยายามค้นหาข้อผิดพลาดต่างๆ เขาก็ได้เขียนรายงานสรุปขนาด 31 หน้ากระดาษเกี่ยวกับที่ทางเขาและทางทีมงานได้ค้นพบ

นั่นคือเขาได้ค้นพบคีย์ส่วนตัวของ SSL certificate ของ DJI หรือพูดง่ายๆเขาทราบถึงกุญแจรหัสในฝั่ง server ของ DJI นั่นเองเนื่องจากรหัสนี้ได้มีการรั่วไหลไปบน GitHub ก่อนหน้านี้ ทำให้ Kavin สามารถมองเห็นข้อมูลลูกค้าเป็นจำนวนมากที่บันทึกอยู่บนเซิฟเวอร์ของ Kavinn

คุณ Kavin ก็ได้ส่งรายงานนี้กลับไปยัง DJI และทาง DJI ก็เห็นด้วยว่าข้อมูลในรายงานนั้นเหมาะที่จะได้รางวัล $30,000 USD ดังกล่าว

แต่สิ่งที่ตามมาหลังจากนั้นก็เป็นเรื่องการเจรจาเงื่อนไขต่างๆ ซึ่งประเด็นหลักก็จะเป็นเรื่องที่ว่าทาง Kavin จะสามาถเปิดเผยหรือไม่สามารถเปิดเผยอะไรได้บ้าง

หลังจากที่ทนายหลายคนได้บอกเขาว่าข้อตกลงดังกล่าวนั้นค่อนข้างเสี่ยง โดยคุณ Kavin ระบุว่าคล้ายๆกับว่าเขาร่างมาให้เซ็นในลักษณะที่ถ้าเซ็นแล้วก็ต้องต้องปิดปากให้สนิท และยิ่งไปกว่านั้น เขาได้รับจดหมายจาก DJI ระบุว่าเขาไม่มีสิทธิ์ในการเข้าถึงเซิฟเวอร์ของ DJI ดังนั้นทาง DJI จึงขอสงวนสิทธิ์ในการฟ้องร้องภายใต้ข้อกฏหมายการฉ้อโกงและใช้ระบบคอมพิวเตอร์ในทางที่ผิด สุดท้าย Kavin ก็เลยยกเลิกข้อตกลงกับทาง DJI ไป

จริงๆแล้ว โครงการในลักษณะนี้หลายๆบริษัทก็จะนิยมใช้กันไม่ว่าจะเป็น Samsung Apple Twitter Facebook เป็นต้น แต่ก่อนที่เขาจะเริ่มโครงการ จะมีการระบุกฏเกณฑ์กันอย่างชัดเจนตั้งแต่เริ่มต้น และตอนนี้ทาง DJI ก็ได้เปิดเว็บไซท์พร้อมข้อมูลระบุเงื่อนไขต่างๆออกมาสำหรับโครงการนี้แล้ว แต่ตอนเปิดโครงการเมื่อเดือนสิงหาคมที่ผ่านมานั้นเงื่อนไขเหล่านี้ยังไม่มี หรือพูดง่ายๆคือ วัวหายแล้วล้อมคอกนั่นเอง

ต่อมาทาง DJI ได้ออกแถลงการณ์เกี่ยวกับเรื่องนี้ โดยระบุว่า “DJI ได้ร้องขอให้นักวิจัยความปลอดภัยให้ปฏิบัติตามเงื่อนไขมาตรฐานสำหรับโครงการหาบักล่ารางวัล ซึ่งถูกออกแบบมาเพื่อปกป้องข้อมูลความลับและให้เวลาเพียงพอสำหรับการวิเคราะห์และแก้ไขปัญหาจุดอ่อนดังกล่าวก่อนที่จะมีการเปิดเผยต่อสาธารณะชน

ทางบริษัทยังกล่าวต่ออีกว่า “แฮกเกอร์คนดังกล่าว ปฏิเสธที่จะยอมรับกับเงื่อนไขเหล่านี้ และยังข่มขู่ DJI ถ้าทางเราไม่ตอบสนองต่อเงื่อนไขเขาอีกด้วย”

สรุปสั้นๆว่า DJI ประกาศให้หา bug ล่ารางวัลโดยไม่ได้บอกให้ผู้ร่วมงานเซ็นข้อตกลงกันก่อน พอมีการเจอบักร้ายแรงทาง DJI ก็จะมาให้เซ็นปิดปากกันทีหลังแต่คนที่เจอบักก็อยากจะเปิดเผย เลยมีการขู่กันไปมานั้นเอง

Advertisment