Comments 62
Ох уж эти китайцы.
Ну что сказать… китайцы всегда славились своей хитропопостью…
Кому интересно, он сам всё рассказал тут
UFO just landed and posted this here
На мой взгляд, он хотел оставить себе возможность опубликовать детали уязвимостей после их исправления. Это довольно адекватная практика.
Да какие детали, какие уязвимости? Пароли и ключи, случайно оказавшиеся на гитхабе? Что он там собирался публиковать? Или его просили не публиковать то, что он нашел на AWS и ShortPixel? А там копаться он вообще не должен был.
Всмысле не должен был? Что за потребительское отношение к репортерам уязвимостей?
Их не спрашивали, должен или нет. Здесь либо идешь к компании и они тебя облизывают всячески, либо компания идет нафиг, а доступы продаются.
Я почитал рассказ этого мужика по ссылке выше, хотя его путанный стиль довольно трудно понимать. Его «достижение» в том, что он наткнулся на ключи AWS на Гитхабе. Так себе достижение для специалиста по безопасности, на мой взгляд, но он очень этим гордится:
То есть вот она уязвимость, о которой надо сообщить, поменять ключи, и все будет хорошо. Но что сделал он? Он скачал себе все данные из S3 бакетов и начал там копаться! И отчет, который он отправил в DJI был не о ключах, а об исследовании данных, которые он там нашел. Разумеется, когда компания это осознала, ей не понравилось — нахождение уязвимости — это одно, а ее использование для получения доступа к внутренним данным компании и копания там — другое.
My night of hunting wound up being pretty crazy. Around 4PM Sept 26th JUST before dinner, and family time I wound up finding DJI Skypixel keys for Amazon Web Services (AWS) sitting out in public view!
То есть вот она уязвимость, о которой надо сообщить, поменять ключи, и все будет хорошо. Но что сделал он? Он скачал себе все данные из S3 бакетов и начал там копаться! И отчет, который он отправил в DJI был не о ключах, а об исследовании данных, которые он там нашел. Разумеется, когда компания это осознала, ей не понравилось — нахождение уязвимости — это одно, а ее использование для получения доступа к внутренним данным компании и копания там — другое.
Его «достижение» в том, что он наткнулся на ключи AWS на Гитхабе.
Ну а вы чего достигли? (Вопрос риторический, отвечать не надо).
Он скачал себе все данные из S3 бакетов и начал там копаться!
Почему бы и нет? Интернеты — это вам не джентельменский клуб. Сами по себе ключи ценности не представляют пока дамп не сольёшь. Если бы он не покопался в инстансах (или что там было), то ему бы ответили, что ключи протухли сто лет назад и вообще никакой уязвимости не было. При этом, наверняка попросили бы подписать NDA, но уже забесплатно.
Он пытается защитить свои права и прибыль, компания — свои. Эта статья — всего лишь о том, что компания, вероятно, поступила неоптимально и понесет некоторые репутационные потери. Когда дамп опубликуют — то еще и материальные.
Ну а вы чего достигли? (Вопрос риторический, отвечать не надо).Погуглите.
Почему бы и нет? Интернеты — это вам не джентельменский клуб. Сами по себе ключи ценности не представляют пока дамп не сольёшь.Интересно, то есть в интернетах можно вытворять, что хочешь без приличий и законов?
Мужика попросили (посредством публичного баг баунти) искать уязвимости. Он ее нашел, но также воспользовался ей, слив себе данные. Ему говорят, вот тебе денег, но слитые персональные данные третих лиц-то никому не показывай. А он начал бычить — не, свобода слова, делаю, что хочу. Ну и логично, получил предупреждение, что засудят за неправомерный доступ к их данным, который действительно имел место быть.
Когда дамп опубликуют — то еще и материальные.То есть вы считаете, что он еще и публиковать персональные данные третьих лиц имеет право теперь?
> искать уязвимости. Он ее нашел, но также воспользовался ей, слив себе данные.
С моей точки зрения, это часть bug bounty. Одно дело — найти ключи, которые уже не работают, другое — ключи от приватного репозитория с рецептами печенек, которыми обмениваются работницы DJI, и третье дело — от репозитория с персональными данными клиентов. Это совершенно разные категории уязвимостей, и различить их можно, только просмотрев материалы.
DJI, судя по всему, считает по-другому.
> Ему говорят, вот тебе денег, но слитые персональные данные третих лиц-то никому не показывай.
Нет, ему сказали «вот тебе денег, но сначала поклянись, что ты никому и ничего про уязвимости DJI (или что-то хоть как-то относящееся к ним) не расскажешь».
> То есть вы считаете, что он еще и публиковать персональные данные третьих лиц имеет право теперь?
Он этого делать не собирался. Если он опубликует дамп с персональными материалами — тогда он будет преступником. Опубликовать информацию о том, что DJI подставила эти данные под удар — имеет право
С моей точки зрения, это часть bug bounty. Одно дело — найти ключи, которые уже не работают, другое — ключи от приватного репозитория с рецептами печенек, которыми обмениваются работницы DJI, и третье дело — от репозитория с персональными данными клиентов. Это совершенно разные категории уязвимостей, и различить их можно, только просмотрев материалы.
DJI, судя по всему, считает по-другому.
> Ему говорят, вот тебе денег, но слитые персональные данные третих лиц-то никому не показывай.
Нет, ему сказали «вот тебе денег, но сначала поклянись, что ты никому и ничего про уязвимости DJI (или что-то хоть как-то относящееся к ним) не расскажешь».
> То есть вы считаете, что он еще и публиковать персональные данные третьих лиц имеет право теперь?
Он этого делать не собирался. Если он опубликует дамп с персональными материалами — тогда он будет преступником. Опубликовать информацию о том, что DJI подставила эти данные под удар — имеет право
> Это совершенно разные категории уязвимостей, и различить их можно, только просмотрев материалы.
Так это сотрудники DJI будут смотреть, какая категория уязвимости. Если это их внутреннее хранилище, которое первоначально не должно было быть доступно никому, то на мой взгляд, исследовать как там что внутри лежит — это лезть во внутренние дела компании и было совсем не обязательно. Он отправил им 31-страничный документ с подробным описанием всего того, что он нашел на их же сервере — зачем?
> Нет, ему сказали «вот тебе денег, но сначала поклянись, что ты никому и ничего про уязвимости DJI (или что-то хоть как-то относящееся к ним) не расскажешь».
Ну на самом деле ни то, ни другое (по крайней мере, по его статье). Там написано «если у вас будут еще данные о наших уязвимостях, не раскрывайте их, пока не сообщите нам и не получите разрешение».
Не знаю, вообще у меня сложилось впечатление, что это буквоед и какой-то в целом неприятный товарищ. Вместе с отчетом он еще написал им длинное письмо, какая у них должна быть баунти-программа, какие они должны давать права участникам, как им надо было упоминать и благодарить участников в прессе, потом начал придираться к куче моментов в присланном договоре.
И я не понимаю, зачем — ему давали довольно много денег, непонятно, какие еще профиты он хотел с этого поиметь, чтобы это было так принципиально.
> Он этого делать не собирался.
Это был вопрос geisha, что значило его «Когда дамп опубликуют». Кстати, публиковать свой отчет с замазанными персональными данными (по сути описание инфраструктуры DJI) он-таки собирался и собирается.
Так это сотрудники DJI будут смотреть, какая категория уязвимости. Если это их внутреннее хранилище, которое первоначально не должно было быть доступно никому, то на мой взгляд, исследовать как там что внутри лежит — это лезть во внутренние дела компании и было совсем не обязательно. Он отправил им 31-страничный документ с подробным описанием всего того, что он нашел на их же сервере — зачем?
> Нет, ему сказали «вот тебе денег, но сначала поклянись, что ты никому и ничего про уязвимости DJI (или что-то хоть как-то относящееся к ним) не расскажешь».
Ну на самом деле ни то, ни другое (по крайней мере, по его статье). Там написано «если у вас будут еще данные о наших уязвимостях, не раскрывайте их, пока не сообщите нам и не получите разрешение».
Не знаю, вообще у меня сложилось впечатление, что это буквоед и какой-то в целом неприятный товарищ. Вместе с отчетом он еще написал им длинное письмо, какая у них должна быть баунти-программа, какие они должны давать права участникам, как им надо было упоминать и благодарить участников в прессе, потом начал придираться к куче моментов в присланном договоре.
И я не понимаю, зачем — ему давали довольно много денег, непонятно, какие еще профиты он хотел с этого поиметь, чтобы это было так принципиально.
> Он этого делать не собирался.
Это был вопрос geisha, что значило его «Когда дамп опубликуют». Кстати, публиковать свой отчет с замазанными персональными данными (по сути описание инфраструктуры DJI) он-таки собирался и собирается.
> Так это сотрудники DJI будут смотреть, какая категория уязвимости.
Может, будут, а может не будут. Скажут «спасибо, что сообщили об этой совершенно незначительной ошибке, вот вам $100». Причем это может быть не специально — скажем, легко не заметить среди сотен каталогов с всякими бесполезными логами папочку с Очень Персональными Данными.
> написано «если у вас будут еще данные о наших уязвимостях, не раскрывайте их, пока не сообщите нам и не получите разрешение».
Согласен, только там еще более обще — вообще любые идеи, как-то связанные с DJI и уязвимостями. Т.е. если завтра он узнает, что коптеры морзянкой передают текущие координаты — то он уже не имеет права об этом кому-либо сказать без явного разрешения от DJI.
> Вместе с отчетом он еще написал им длинное письмо, какая у них должна быть баунти-программа, какие они должны давать права участникам
В таком деле я бы тоже был буквоедом и заранее прояснил все спорные моменты (как он и делал), типа того, считается ли вот этот вот доступ к AWS уязвимостью, подпадающей под их программу. Поскольку если не считается, то DJI ему не давал «зеленый свет» на потыкаться в этом сервере и он мог бы попасть под тот самый CFAA.
> потом начал придираться к куче моментов в присланном договоре.
Это контракт, который накладывает на него кучу ограничений, в том числе не относящиеся к этой конкретной утечке данных. Я бы на его месте тоже придирался.
Я тут почитал на досуге их bounty program и там есть несколько интересных пунктов:
— Information in connection with this Program must be kept confidential. You may not disclose, distribute or demonstrate the vulnerability to any third party or publicly without DJI’s prior written consent
— You do not download, export or store DJI’s data under any circumstances. If you unintentionally or otherwise download, export or store exfiltrate DJI’s data, you will inform DJI and promptly destroy all copies of such data in your possession
— You do not make use of or exploit the vulnerability for any reasons to further probe additional security issues
Если эти пункты были в той версии, по которой он действовал — то товарищ не прав. Если их не было — то, на мой взгляд, среди этих двоих неправ DJI. Текущая версия маркирована 16 ноября; мне очень интересно, чем она отличается от той, которая была в сентябре…
Может, будут, а может не будут. Скажут «спасибо, что сообщили об этой совершенно незначительной ошибке, вот вам $100». Причем это может быть не специально — скажем, легко не заметить среди сотен каталогов с всякими бесполезными логами папочку с Очень Персональными Данными.
> написано «если у вас будут еще данные о наших уязвимостях, не раскрывайте их, пока не сообщите нам и не получите разрешение».
Согласен, только там еще более обще — вообще любые идеи, как-то связанные с DJI и уязвимостями. Т.е. если завтра он узнает, что коптеры морзянкой передают текущие координаты — то он уже не имеет права об этом кому-либо сказать без явного разрешения от DJI.
> Вместе с отчетом он еще написал им длинное письмо, какая у них должна быть баунти-программа, какие они должны давать права участникам
В таком деле я бы тоже был буквоедом и заранее прояснил все спорные моменты (как он и делал), типа того, считается ли вот этот вот доступ к AWS уязвимостью, подпадающей под их программу. Поскольку если не считается, то DJI ему не давал «зеленый свет» на потыкаться в этом сервере и он мог бы попасть под тот самый CFAA.
> потом начал придираться к куче моментов в присланном договоре.
Это контракт, который накладывает на него кучу ограничений, в том числе не относящиеся к этой конкретной утечке данных. Я бы на его месте тоже придирался.
Я тут почитал на досуге их bounty program и там есть несколько интересных пунктов:
— Information in connection with this Program must be kept confidential. You may not disclose, distribute or demonstrate the vulnerability to any third party or publicly without DJI’s prior written consent
— You do not download, export or store DJI’s data under any circumstances. If you unintentionally or otherwise download, export or store exfiltrate DJI’s data, you will inform DJI and promptly destroy all copies of such data in your possession
— You do not make use of or exploit the vulnerability for any reasons to further probe additional security issues
Если эти пункты были в той версии, по которой он действовал — то товарищ не прав. Если их не было — то, на мой взгляд, среди этих двоих неправ DJI. Текущая версия маркирована 16 ноября; мне очень интересно, чем она отличается от той, которая была в сентябре…
Я так понимаю, что на тот момент ничего, кроме анонса баунти программы просто не было, как и самого security.dji.com
Похоже, что полиси действительно не было. В таком случае получается, что DJI облажались с четким описанием bug bounty, и этот товарищ был вынужден собирать информацию о разрешенных границах по разрозненным источникам, включая переписку с сотрудниками DJI с наводящими вопросами (и они первоначально были вполне довольны его действиями — до того, как он отказался подписать контракт с NDA). Процитированные мной запреты, похоже, были выкачены постфактум по итогам этого факапа. По крайней мере пункт про «additional security issues» очень похож на один из пунктов того контракта.
Ему говорят, вот тебе денег, но слитые персональные данные третих лиц-то никому не показывай. А он начал бычить — не, свобода слова, делаю, что хочу. Ну и логично, получил предупреждение, что засудят за неправомерный доступ к их данным, который действительно имел место быть.
Написано так живо, как будто бы вам всю переписку зафорвардили. Правда, есть определенные коллизии с автором оригинала:
По его словам, четверо специалистов, к которым он обращался по отдельности, рассказали о том, что документ не содержит никаких гарантий для него лично, но зато оказывает всемерную поддержку позициям составителей, то есть компании DJI.
Т.е. в договоре ни про какие деньги речи не шло. Про третьих лиц вы тоже, полагаю, придумали.
То есть вы считаете, что он еще и публиковать персональные данные третьих лиц имеет право теперь?
Какое право? Моральное? Да. Ведь компания сама опубликовала ключи, за которыми эти данные хранятся. А пользователи сами поделились с компанией данными, которые они хотели бы держать в секрете. А то, по-вашему, выходит что хакер — гад, пользователи — овечки (используют проприетарные китайские дроны в нуждах государства), а компания — белая и пушистая — просто защищает интересы пользователей. Вообще-то, из этой тройки я доверяю только одному.
А давайте с аналогией. Мужик нашел ключ под ковриком. Вместо того, чтобы предупредить владельца квартиры, что это небезопасно, он воспользовался ключем. И ладно бы только проверил, что это точно ключ от этой квартиры, нет, он покопался в почте внутри под дверью, покопался в тумбочках и шкафе, даже на святое позарился — ознакомился с инструкцией освежителя воздуха в туалете!
Можно сказать что он даже уязвимость никакую и не нашел, просто косяк разработчиков, о котором стоило сразу сообщить, ну на крайний случай проверить валидность, но не шарить же там >_>
Можно сказать что он даже уязвимость никакую и не нашел, просто косяк разработчиков, о котором стоило сразу сообщить, ну на крайний случай проверить валидность, но не шарить же там >_>
А давайте! Мужик нашел ключ под ковриком. У него есть два варианта — покопаться в квартире и продать ключ за бабки на черном рынке или сказать владельцу квартиры, в надежде на то что владелец заплатит ему баблишка. При этом надо ещё доказать владельцу что ключ от его квартиры и подходит к туалету и прочему.
Вопрос — что сделают он и другие люди, найдя ключи от квартиры этого нерадушного хозяина в следующий раз? Скромно доложат, подпишут кучу NDA и смиренно будут ждать оплаты или анонимно сольют? (подсказка — сольют или забьют)
Человек хотел иметь возможность публично заявлять примерно следующее
Его хотели такой возможности лишить. В этом и конфликт.
Не публиковать такие вещи нельзя — компания тогда можешь их не исправить и замалчивать. Публикация описаний найденных уязвимостей — правило хорошего тона.
Я, Вася Пупкин, нашёл вот такую вот критическую уязвимость у компании «Рога и Копыта»: [описание уязвимости], за что мне они заплатили много денег. Вот какой я умелый специалист, обращайтесь ко мне за консультацией.
Его хотели такой возможности лишить. В этом и конфликт.
Не публиковать такие вещи нельзя — компания тогда можешь их не исправить и замалчивать. Публикация описаний найденных уязвимостей — правило хорошего тона.
А почему он должен подписывать договор о не разглашении? Очевидно, что компания в течение какого-то времени устраняет уязвимость, после чего можно о ней рассказать.
судя по всему он посчитал что $30к для него мало. хотел побольше срубить.
Я думаю, как минимум в договоре не было указано "мы выплатим вам 30к баксов", судя по новости.
del
Все уже сказали выше
Все уже сказали выше
В мире практика такая — иные крупные конторы с трудом реагируют на реальные уязвимости. Можно заплатить человеку денег, заткнуть его через NDA и всё — нет гарантий, что всё будет исправлено. И такие конторы шевелиться начинают только после мощного пинка после публикации уязвимостей в открытом доступе. Я вполне допускаю, что смыслом и целью человека является не только срубить бабла через баунти, но и сделать этот мир лучше, стабильнее и надёжнее. И когда оказывается, что их устремления не разделяют некоторые неповоротливые гиганты, то деньги могут вполне и не оказывать результирующего влияния на их решения.
Если бы контора предложила подписать NDA только на ближайший год-два, то думаю никаких проблем бы не было. Человек получает деньги и через пару лет публикует найденные им уязвимости, которые уже давно должны быть закрытыми.
Не исключаю, что развитие ситуации пошло в таком русле из-за давления, например, ответственного по приватным ключам. Потому что подобный факт реально бъёт по репутации и самолюбию. Это вам не косяк разработчика, не баг и не фича. Это — распиздяйство в чистом виде. И за такое по идее надо хорошо бить по рукам.
Если бы контора предложила подписать NDA только на ближайший год-два, то думаю никаких проблем бы не было. Человек получает деньги и через пару лет публикует найденные им уязвимости, которые уже давно должны быть закрытыми.
Не исключаю, что развитие ситуации пошло в таком русле из-за давления, например, ответственного по приватным ключам. Потому что подобный факт реально бъёт по репутации и самолюбию. Это вам не косяк разработчика, не баг и не фича. Это — распиздяйство в чистом виде. И за такое по идее надо хорошо бить по рукам.
UFO just landed and posted this here
Не знаю, как китайцы, но я один раз в подобной ситуации был: требовал компенсацию от одной компании, строго в рамках закона о защите прав потребителей РФ. На словах они со мной соглашались, обещали всё выплатить, но только ПОСЛЕ того, как я подпишу бумажку об отказе ото всех претензий. На мой вопрос, что же их заставит заплатить мне, если я откажусь от претензий, они ответить не смогли.
Судя по тексту поста, китайцы аналогично требовали сначала подписать неразглашение, а потом уже говорить о деньгах.
я так понимаю что есть разница между платой за молчание или за найденную уязвимость. Смысл поиска уязвимости заключается в том что бы ее найти и устранить. И пользователя продукции интересует чтобы он мог пользоватся безопасно дроном. И хочу отдельно уточнить что публикация о багах это особая традиция, она ничего общего с продажей инфы на сторону не имеет. Такие люди вообще не обращаются в компанию.
UFO just landed and posted this here
Бешено плюсую.
В рамках их культуры, как мне кажется, подобное понятие отсутствует либо носит откровенно декоративный и поверхностно заимствованный характер.
Срубить бабла сейчас и быстро любой ценой — истинная бизнес философия любого китайца. Все остальное не то что вторично, остальное скорее третично.
В рамках их культуры, как мне кажется, подобное понятие отсутствует либо носит откровенно декоративный и поверхностно заимствованный характер.
Срубить бабла сейчас и быстро любой ценой — истинная бизнес философия любого китайца. Все остальное не то что вторично, остальное скорее третично.
Вот и участвуй после этого в баунти-прогах. Кроме того что не заплатят, так еще тебя и виновным кулхацкером сделают и только что не расстреляют.
Вот тут минусуют люто за свои мысли и что же теперь удивляться решению компании?
Если разобраться, то парень полез в бутылку. Идейный, но деньги взять согласился.
Вот тут — либо не бери денег и будь стойким до конца, либо если уж взял храни ЧУЖИЕ секреты как полагается порядочному человеку. Ведь, как указывается в статье, цель его была поиск багов за вознаграждение. Так что, хотелось и рыбу с'есть и все остальное тоже?
Вот они и взбесились. И я их понимаю. А этого корыстного робингуда, признаться, не очень…
И уже где вся логика теперь? Все опубликовано, теперь он подсудимый. Денег нет и теперь ему придётся только держаться там.
Интересно было бы взглянуть на соглашение на выдачу вознаграждений за найденную уязвимость.
Если разобраться, то парень полез в бутылку. Идейный, но деньги взять согласился.
Вот тут — либо не бери денег и будь стойким до конца, либо если уж взял храни ЧУЖИЕ секреты как полагается порядочному человеку. Ведь, как указывается в статье, цель его была поиск багов за вознаграждение. Так что, хотелось и рыбу с'есть и все остальное тоже?
Вот они и взбесились. И я их понимаю. А этого корыстного робингуда, признаться, не очень…
И уже где вся логика теперь? Все опубликовано, теперь он подсудимый. Денег нет и теперь ему придётся только держаться там.
Интересно было бы взглянуть на соглашение на выдачу вознаграждений за найденную уязвимость.
Вполне себе взвешенная логика. С какого он должен сначала подписать NDA, а только потом будет решаться вопрос о вознаграждении? Почему нельзя всё это свести в один договор с приложением в виде NDA — договор в котором гарантии получают сразу обе стороны одновременно. Я вот его понимаю, если компания ведёт себя так мутно: NDA подпишешь, а что будет потом — это неизвестно)
Подсудимым он не является. Он ничего не украл, не взломал и не вымогал. Взять то, что лежит в открытом доступе и опубликовать — это не преступление. Мотивы такого поведения просты и понятны: человек потратил много времени и если денежный вопрос за это встаёт под вопросом, то можно хоть себя порекламировать как спеца и хоть как-то наказать контору, которая сначала сказала, что заплатит, а потом началось бюрократическое юление.
Подсудимым он не является. Он ничего не украл, не взломал и не вымогал. Взять то, что лежит в открытом доступе и опубликовать — это не преступление. Мотивы такого поведения просты и понятны: человек потратил много времени и если денежный вопрос за это встаёт под вопросом, то можно хоть себя порекламировать как спеца и хоть как-то наказать контору, которая сначала сказала, что заплатит, а потом началось бюрократическое юление.
Насчёт "взять то, что лежит в открытом доступе — не преступление" — это не так. Взять чужое — это преступление, взять ключ под ковриком и войти в чужую квартиру это преступление.
Переносить эту логику в интернет — совсем не моя личная позиция, но вполне может сработать в суде.
У них там почти всё лежит под MIT-лицензией. Так что, заходи, бери что хочешь, только ссылку оставь где брал.
взять ключ под ковриком и войти в чужую квартиру это преступление
Давайте уж тогда корректно сравнивать: человек не взял ключ из-под коврика — он на коврик просто посмотрел! Вы ушли из дома, а на коврике оставили листочек с реквизитами банковской карты. Получается, что случайный прохожий воспользовавшись этими реквизитами для покупки себе чего-либо в интернет магазине совершил преступление?
Вы ушли из дома, а на коврике оставили листочек с реквизитами банковской карты. Получается, что случайный прохожий воспользовавшись этими реквизитами для покупки себе чего-либо в интернет магазине совершил преступление?
Разумеется.
Конечно! Если вы потеряли карточку, воспользоваться ей без вашего ведома будет преступлением. Деньги-то в банке все равно ваши, а не чьи-то ещё. И квартира — ваша, а то, что кто-то нашел ключ от неё, ничего не меняет. Далее если вы вообще дверь не запирали, в неё нельзя заходить и брать что попало
Ну вообщем-то да) Неудачный пример с картой/ключами. Некорректный по отношению к рассматриваемой ситуации. Более корректно сравнение с бумажкой, на которой написан логин/пароль для доступа на какой-то сайт.
Этого тоже делать нельзя, между прочим.
Даже сами логины/пароли, ключи, шифрование и всё прочее существует только потому, что люди сознательно идут на нарушение законов.
Даже сами логины/пароли, ключи, шифрование и всё прочее существует только потому, что люди сознательно идут на нарушение законов.
С морально-этической точки зрения конечно нельзя. А с юридической как это выглядит?
Везде есть грань разумного. Если я на стене подъезда напишу свой доступ на почту «чтобы не забыть», то когда им кто-то воспользуется — в этом не будет ничего удивительного, т.к. я сам создал провокационную ситуацию. И я что-то сомневаюсь, что суд будет на моей стороне, если я займусь делом по «взлому моего почтового ящика». Есть же понятия халатность, неответственность, необеспечение безопасности и т.д. Если я под ковриком оставлю ключ, а за дверью положу пистолет в прихожей, то отвечать за пропажу оружия буду лично я, т.к. необеспечил «условия хренения оружия». Хотя в этой ситуации тот кто спёр ствол совершил явное преступление и так делать да, нельзя брать чужое)
Везде есть грань разумного. Если я на стене подъезда напишу свой доступ на почту «чтобы не забыть», то когда им кто-то воспользуется — в этом не будет ничего удивительного, т.к. я сам создал провокационную ситуацию. И я что-то сомневаюсь, что суд будет на моей стороне, если я займусь делом по «взлому моего почтового ящика». Есть же понятия халатность, неответственность, необеспечение безопасности и т.д. Если я под ковриком оставлю ключ, а за дверью положу пистолет в прихожей, то отвечать за пропажу оружия буду лично я, т.к. необеспечил «условия хренения оружия». Хотя в этой ситуации тот кто спёр ствол совершил явное преступление и так делать да, нельзя брать чужое)
Понятно, что есть такая штука как обвинение жертвы ну и здравый смысл, отчасти, но вообще-то, вы не обязаны в принципе иметь пароль, ровно как и не обязаны, например, запирать свой дом на ключ или пристёгивать на цепочку велосипед. Ваша безолаберность никогда и ни в коей мере не оправдывает преступника.
> Взять то, что лежит в открытом доступе и опубликовать — это не преступление.
Во-первых, оно не было в открытом доступе, просто кто-то по ошибке залил на гитхаб ключ.
Во-первых, оно не было в открытом доступе, просто кто-то по ошибке залил на гитхаб ключ.
UFO just landed and posted this here
> Который автоматически попал под MIT
С чего бы это?
Но это не важно, тут бесполезно спорить, вы считаете, что если я случайно не запру дверь, вы имеете полное право зайти и все забрать, а я так не считаю. Ну, то есть, вы можете потом на суде пытаться доказать, что вы думали, что я специально оставил ее открытой и это было приглашением, но сомневаюсь, что это найдет поддержку.
С чего бы это?
Но это не важно, тут бесполезно спорить, вы считаете, что если я случайно не запру дверь, вы имеете полное право зайти и все забрать, а я так не считаю. Ну, то есть, вы можете потом на суде пытаться доказать, что вы думали, что я специально оставил ее открытой и это было приглашением, но сомневаюсь, что это найдет поддержку.
Если на незапертой двери написано «Заходите кто хотите, берите что хотите и делайте с этим что хотите, только этикетку приклейте с надписью где вы это взяли», то почему я не могу брать всё что лежит за этой дверью?
С чего бы это?Вы на ихнем гитхабе были?
> Вы на ихнем гитхабе были?
Был, вот копия того репозитория (указанного в статье мужика) github.com/MAVProxyUser/skypixel_lottery Я не вижу там лицензии, а вы?
Я полагаю, это был репозиторий вообще не предназначавшийся для публикации. Но даже если было бы по-вашему, и, например, я опубликовал бы какую-нибудь библиотеку под MIT лицензией, но забыл удалить ключ к моему серверу, с которым тестировал, — по-вашему, это автоматически дает вам права на мой сервер и данные на нем?
Был, вот копия того репозитория (указанного в статье мужика) github.com/MAVProxyUser/skypixel_lottery Я не вижу там лицензии, а вы?
Я полагаю, это был репозиторий вообще не предназначавшийся для публикации. Но даже если было бы по-вашему, и, например, я опубликовал бы какую-нибудь библиотеку под MIT лицензией, но забыл удалить ключ к моему серверу, с которым тестировал, — по-вашему, это автоматически дает вам права на мой сервер и данные на нем?
Но даже если было бы по-вашему, и, например, я опубликовал бы какую-нибудь библиотеку под MIT лицензией, но забыл удалить ключ к моему серверу, с которым тестировал, — по-вашему, это автоматически дает вам права на мой сервер и данные на нем?
Права на ваш сервер это ему не даст. Но даст право сделать программку для, достаточно глубокого, доступа на ваш сервер для каких-либо действий, например, просмотр материалов. Разумеется надо будет указать откуда взят ключ и соблюсти условия MIT в целом) Кто-то другой, используя эту программку, может стянуть конфиденциальную информацию и опубликовать её, но вы, юридически, ничего не нарушаете. Такая вот казуистика.
Я полагаю, это был репозиторий вообще не предназначавшийся для публикации.
Это уже совсем другое дело. Но тогда всё равно вопрос к безопасникам — как был выдан доступ к подобному материалу без предварительного подписания NDA — это реально кто-то ушами прохлопал)
Это ошибочная логика. Распространение ключа под свободной лицензией вовсе не является поводом для автоматического отчуждения прав на собственность, сохраняемую замком, к которому этот ключ подходит.
И да, право использовать ключ, находящийся под свободной лицензией — это право использовать его в законных целях. Получение неправомерного доступа к информации, с помощью программы ли, или же непосредственно — законным не является.
И да, право использовать ключ, находящийся под свободной лицензией — это право использовать его в законных целях. Получение неправомерного доступа к информации, с помощью программы ли, или же непосредственно — законным не является.
Про собственность никто не спорит.
Ну вот я и сделал программу, которая смотрит контент за ключём — чего именно я нарушил, если по MIT'у использую ключ, который даёт мне доступ к этому контенту?
Вообще говоря, я не юрист, а технарь, поэтому не исключаю, что юридически безграмотен и могу сильно заблуждаться)
И да, право использовать ключ, находящийся под свободной лицензией — это право использовать его в законных целях.
Ну вот я и сделал программу, которая смотрит контент за ключём — чего именно я нарушил, если по MIT'у использую ключ, который даёт мне доступ к этому контенту?
Вообще говоря, я не юрист, а технарь, поэтому не исключаю, что юридически безграмотен и могу сильно заблуждаться)
По MIT'у вы можете использовать этот ключ. Прав на доступ к серверу вам никто не давал. Можете распечатать ключик, можете напеть его под музыку или использовать в своей программе в качестве источника случайных данных, если угодно.
Вот представьте, по аналогии с реальным миром: некий человек принёс коробку с вещами и отдал вам. Может это не нужные ему вещи, или просто подарок. Но он сказал, может даже в присутствии свидетелей — делай с ними всё, что пожелаешь. И вот вы случайно обнаружили, что в коробке оказался ключ от его собственного дома. Может он забыл его там, может случайно обронил в коробку — но факт. И тогда вы приходите, когда его нет дома, и выносите всё ценное. Ну, или же просто устанавливаете незаметную камеру в душе и записываете приватные вещи.
И тут человек об этом узнал и подал заявление а полицию. Как думаете — вас не арестуют, или может суд после сочтёт ваши действия законными?
Вот представьте, по аналогии с реальным миром: некий человек принёс коробку с вещами и отдал вам. Может это не нужные ему вещи, или просто подарок. Но он сказал, может даже в присутствии свидетелей — делай с ними всё, что пожелаешь. И вот вы случайно обнаружили, что в коробке оказался ключ от его собственного дома. Может он забыл его там, может случайно обронил в коробку — но факт. И тогда вы приходите, когда его нет дома, и выносите всё ценное. Ну, или же просто устанавливаете незаметную камеру в душе и записываете приватные вещи.
И тут человек об этом узнал и подал заявление а полицию. Как думаете — вас не арестуют, или может суд после сочтёт ваши действия законными?
Некорректное сравнение. Я встрою этот ключ в свою программку и всё. Аналогия — если мне отдали вещи, в т.ч. и ключ, а я его размножил и стал людям раздавать. Ключ, которым открывают конкретную дверь. Потому что мне сказали «делай что хочешь». Я сам лично ничего не нарушил с юридической точки зрения.
Я к тому, что очевидно следующее:
1. Ключ вам дали по ошибке.
2. Вы явно это понимали и ваши действия являются злонамеренными.
Попробуйте, и есть не маленькая вероятность, что вас посадят за соучастие в ограблении.
И даже если не учитывать это, само использование вашей программы в таком случае будет незаконным. Т.е. вы станете преступником в тот момент, когда запустите её. Ну а если её запустит другой человек — то да, тут могут быть разные юридические казусы, но опять же, не забывайте, что если ваша программа открывает доступ на один единственный сервер, осуществлять доступ к информации на котором у вас нет никакого права, то злонамеренность ваших действий в таком случае абсолютно ясна.
1. Ключ вам дали по ошибке.
2. Вы явно это понимали и ваши действия являются злонамеренными.
Попробуйте, и есть не маленькая вероятность, что вас посадят за соучастие в ограблении.
И даже если не учитывать это, само использование вашей программы в таком случае будет незаконным. Т.е. вы станете преступником в тот момент, когда запустите её. Ну а если её запустит другой человек — то да, тут могут быть разные юридические казусы, но опять же, не забывайте, что если ваша программа открывает доступ на один единственный сервер, осуществлять доступ к информации на котором у вас нет никакого права, то злонамеренность ваших действий в таком случае абсолютно ясна.
Думаю, там предполагалось, что он сможет опубликовать эти секреты через некоторое время — whitehat тоже нужны публикации и все такое. Плюс, обещание опубликовать описание уязвимостей через N месяцев означает, что компания будет вынуждена все исправить в срок до N-1 и, частенько, это единственное, что мотивирует компанию закрывать дырки.
UFO just landed and posted this here
Начав работу, он почти случайно обнаружил«На третий день индеец Зоркий Глаз заметил, что у тюрьмы нет одной стены».
<...>
Причем эта информация находилась в открытом доступе уже давно — в течение нескольких лет.
Sign up to leave a comment.
DJI угрожает судом специалисту по кибербезопасности, обнаружившему ключи доступа к учеткам компании на GitHub