Phát hiện ra lỗ hổng bảo mật trong sản phẩm của DJI, anh chàng này không những không nhận được tiền thưởng mà còn bị nghi ngờ là "hacker"

Các chương trình bounty luôn là một cách hữu hiệu để giúp các công ty công nghệ nâng cao khả năng bảo mật cho các sản phẩm của mình, đồng thời người dùng phát hiện ra lỗi trên những thiết bị của họ sẽ nhận được một khoản tiền thưởng kha khá. Đôi bên cùng có lợi.

Tuy nhiên, không phải lúc nào đây cũng là phương pháp tuyệt vời, hấp dẫn nhất. Trường hợp mới đây của nhà nghiên cứu Kevin Finisterre là một ví dụ điển hình.

Cụ thể, thay vì nhận được khoản tiền thưởng lên đến 30.000 USD với phát hiện đáng giá về những vấn đề trong đoạn mã chia sẻ công cộng của DJI, Finisterre lại bị công ty sản xuất máy bay không người lái đến từ Trung Quốc này “kết tội” là một hacker đã cố ý đột nhập vào hệ thống máy chủ của hãng. Họ thậm chí còn đe dọa sẽ làm lớn chuyện này và buộc tội anh vi phạm điều luật về lạm dụng và gian lận máy tính .

DJI vốn là một công ty Trung Quốc nổi tiếng với những sản phẩm máy bay không người lái cao cấp.

Trong một bài đăng gần đây, Finisterre đã bày tỏ sự bức xúc của mình và cho biết DJI đã xuất bản các thông tin cá nhân trên những tên miền web của hãng cùng hàng loạt tài khoản dịch vụ Amazon Web khác nhau trong mã kho GitHub để mọi người có thể cùng xem và sử dụng. Nói một cách khác, anh tin rằng mình hoàn toàn có quyền truy cập vào những thông tin mà khách hàng của DJI chia sẻ, bao gồm nhật ký chuyến bay, ảnh và thậm chí là ảnh thẻ do chính phủ phát hành.

Sau khi gửi cho DJI bản báo cáo dài 31 trang vào hồi tháng 9 vừa qua, Finisterre đã nhận được thông báo rằng anh sẽ được trao thưởng số tiền trị giá 30,000 USD vì những nghiên cứu của mình. Một tháng sau, anh lại bất ngờ nhận được một bản hợp đồng kỳ lạ từ chính công ty này.

Theo đó, bản hợp đồng này gồm các điều khoản hạn chế quyền tự do ngôn luận của Finisterre về những gì mà anh đã phát hiện được và thậm chí còn cấm anh không được lợi dụng khai thác bất cứ lỗ hổng an ninh nào trong hệ thống của họ. Điều này sẽ khiến quá trình tìm hiểu và nghiên cứu những lỗ hổng bảo mật trước đó của anh không thể tiến hành được. Cuối cùng, anh còn nhận được một lời đe dọa liên quan đến pháp luật và CFAA.

Finisterre đã đăng tải bức ảnh này lên Twitter cá nhân với hàm ý "tẩy chay" các chương trình bounty của DJI.

Finisterre hiểu rằng anh và DJI sẽ phải giả quyết rất nhiều vấn đề trong sự việc trên, bao gồm cả việc đối đầu với đội ngũ pháp lý của công ty họ tại Trung Quốc. Thế nhưng, sự việc lại đi quá xa so với tưởng tượng của cả hai bên và buộc anh phải từ bỏ chương trình bounty này và cắt đứt mọi liên lạc với DJI.

Sẽ thật kỳ lạ nếu từ nay về sau có ai đó dám tham gia các chương trình bounty do DJI chủ trì. Đây cũng sẽ là bài học đắt giá dành cho các công ty đang tổ chức những sự kiện tương tự và họ nên cân nhắc thật kỹ quá trình xem xét các báo cáo của mình, bao gồm từ khi nhận báo cáo cho đến khi trao thưởng cũng như áp dụng các biện pháp bảo vệ pháp luật hợp lý.

Hiện tại , DJI vẫn chưa đưa ra bình luận nào về vụ việc này.

Theo TheNextweb