最新消息:SBDJI-全球无人机资讯汇总
    你的位置:SBDJI > 新闻 > 2017关于大疆网络安全和隐私实践的声明-AWS服务器数据泄漏

    2017关于大疆网络安全和隐私实践的声明-AWS服务器数据泄漏

    新闻 SBDJI 17浏览 0评论  赞 0

    关于 DJI 网络安全和隐私实践的声明

    最近有关 DJI 的新闻和博客报道提出了有关 DJI 在网络安全和隐私方面的做法的许多关键问题。我们认识到,人们对大疆创新在这一领域的记录提出了一些合理的担忧,因此我们想澄清大疆创新安全工作的现状。

    1.SSL证书

    9月初,DJI接到通知,DJI网站的SSL证书已被泄露。大疆创新在收到该报告后立即撤销了该证书并更换了新证书。

    根据调查,大疆创新没有理由相信客户数据因此而受到损害。作为向客户负责任披露的一部分,我们一直在与一家独立的网络取证公司合作以确认我们的调查结果。我们将继续监控与过期 SSL 证书相关的活动,并在有任何证据表明相关客户的数据完整性可能受到影响时向相关客户发出警报。

    2.AWS服务器数据

    DJI 收到了一位独立安全研究人员的报告,称 AWS 服务器存储库可以被未经授权的方访问。我们非常重视这个问题,并在收到报告后一天内修复了该问题。

    经过内部审核,我们确定了对这一错误负责的 DJI 开发人员,并立即对他们采取了纪律处分。我们终止了他们的雇佣关系,因为我们认为他们的行为不可原谅且不符合公司政策。我们还减少了有权更改我们服务器的公共和私人设置的人员数量,以防止将来发生这种情况。此外,大疆还进一步加强安全措施和员工培训,杜绝类似事件再次发生。

    与 SSL 证书问题类似,我们已聘请第三方网络取证公司来调查此事件。根据我们迄今为止的分析,只有一方能够从服务器下载数据,包括我们开发者的个人信息。调查正在进行中,如果有证据表明数据被滥用,我们将通知客户。

    3. 漏洞赏金计划

    DJI 创建了 DJI 安全响应中心 (DSRC),为独立研究人员提供报告可能影响 DJI 产品安全性的问题的渠道,作为我们致力于解决数据完整性问题的一部分。

    自2017年8月宣布DJI Bug Bounty计划以来,DJI已经奖励了近十几名发现潜在漏洞的安全研究人员,并在遵守该计划条款后获得了贡献报酬。

    声称我们威胁了该计划的一名参与者,或要求他对自己的发现保持沉默的说法是错误的。与当事人的电子邮件往来和沟通记录显示,大疆创新继续与参与者真诚地谈判赏金条款,直到他选择退出该计划。虽然参与者确实通过电子邮件收到了一封未签名的草稿信,表达了大疆对计划之外的活动以及可能违反适用法律的担忧,但他在收到这封信后并没有向大疆投诉,并在随后的两周内继续就赏金条款进行谈判。DJI 发送给此人的最新版本条款规定了 90 天的有限保密期,在此期间 DJI 可以解决安全漏洞并提供任何所需的法律声明,此后他可以自由地向公众披露有关的事实他的发现。此人原则上同意这一条款,以及发送给他的最后一份草案的其他主要条款。当大疆等待该人士的最终评论并提议对最新版本的条款进行修改两周时,该人士单方面决定终止谈判。随后,他发布了信件草稿、经过编辑的开发者信息、与大疆创新员工的机密通信,并发布了他与大疆创新谈判过程的不完整且具有误导性的叙述。

    通过 DSRC 计划,我们表明我们无意淡化对数据保护的担忧。一个人的经历是一个异常值,并不代表一个项目,该项目已经支付了近十二名研究人员的费用,这些研究人员真诚地与我们合作,并且遵守了该项目的条款。DJI 仍然致力于 DSRC 计划,并继续与研究人员合作,帮助提高我们产品的安全性。

    4. ICE备忘录

    我们获悉美国移民和海关执法局 (ICE) 洛杉矶办事处的一名特工在 8 月份发布了一份有关 DJI 的公告。该公告基于来源不明的明显虚假和误导性的说法。

    这位未透露姓名的消息人士提出的几项关键主张表明,他对大疆、其技术和无人机市场根本缺乏了解。
    一些说法很容易通过几分钟的研究就被反驳。如果这项研究完成,这位不愿透露姓名的线人就会知道:

    当系统关闭时,DJI 无人机和 GO App 都不会执行面部识别。事实上,即使在开机状态下,大疆产品也没有能力将人脸“识别”为特定的人以进行身份​​识别。先进的新产品具有“Active Track”算法,可以跟踪人脸形状或人形的运动,以方便控制无人机或相机的移动(当产品开机时,Active Track模式为由用户参与)。
    DJI 的定价策略并未导致 Parrot 或 Yuneec 停产。虽然我们行业很多企业都在裁员,但每年仍然有几家企业在生产新型号的无人机。
    大疆不会在美国亏本或比在中国便宜的价格销售产品。定价信息已经并将继续在 DJI 网站上公开提供。例如,截至 11 月份,Spark 在美国的售价为 499 美元,在中国的售价为 3,299 元人民币(500 美元)。

    基于这些容易被反驳的说法,该声明对我们的技术、我们如何管理数据以及我们与中国政府的关系提出了其他一些虚假或误导性的说法。

    DJI 致力于遵守其无人机运营所在国家/地区的当地法律法规,并促进客户遵守法规。如果中国境内有特定地点的规则和政策,我们确保我们的系统遵守这些规则,包括需要注册或在机上设置禁飞区。根据中国法规,大疆创新利用用户的 IP 地址、GPS 位置和 MCC ID 来确定无人机是否在中国运行。如果是这样,DJI 将为客户提供遵守中国法规和政策所需的功能。除此之外,大疆创新不会向中国政府提供有关无人机的信息或无人机收集的数据。

    DJI 关于这些问题的其他官方声明:

    DJI 关于 ICE 公告的声明:https://www.dji.com/newsroom/news/dji-statement-on-ice-bulletin

    DJI 关于报告的数据安全问题的声明:https ://www.dji.com/newsroom/news/dji-statement-on-reported-data-security-issue

    来源:https://www.dji.com/newsroom/news/statement-about-dji-cyber-security-and-privacy-practices

    与本文相关的文章

    Avatar photo
    发表我的评论
    取消评论

    Hi,您需要填写昵称和邮箱!

    • 昵称 (必填)
    • 邮箱 (必填)
    CAPTCHA

    *

    ;;) ;) :x :sml :sc :meem :m :kb :k :jy :jx :ggerg :gan :dx :ddwed :crky :cool :cece :c :by :D :42 :41 :40 :39 :38 :37 :36 :35 :34 :33 :32 :31 :30 :29 :28 :27 :26 :25 :24 :23 :22 :21321 :21 :20 :19 :18 :17 :16 :15 :14 :13 :12df :) :(