DJI安全应急响应中心漏洞处理与评级标准

DJI声明

1.DJI非常重视自身产品和业务系统的信息安全问题,也意识到安全研究者和社区对DJI提升自身产品和业务系统安全水平的帮助。我们承诺对每一位报告者反馈的问题都有专人负责跟进、反馈 、分析和处理,并及时给予答复。
2.DJI恪守并支持负责任的漏洞报告流程,尊重每一位白帽子的研究成果。真诚欢迎每一位白帽子向DJI报告漏洞,我们将按照漏洞质量给予感谢和回馈。
3.DJI将用户利益放在第一位,尽最大努力保护DJI用户的利益。
4.DJI反对并谴责以下行为,并保留依法追究责任的权利:
(1)以测试为借口,利用漏洞进行破坏,损害用户利益的行为,包括但不限于利用漏洞盗取用户资料、隐私及虚拟财产。
(2)在漏洞测试过程中下载DJI的任何代码和数据。(如果发现可能导致代码和数据泄漏的问题,不实际下载内容并不会影响对漏洞的评级)。
(3)利用漏洞攻击DJI的系统,造成系统宕机或者失效。
(4)利用漏洞或者在测试过程中置公众安全于不顾,严重影响飞行安全或者公开空域安全的行为。
(5)利用安全漏洞的恐吓、敲诈行为或恶意夸大漏洞影响,引起公众恐慌的行为。
(6)不负责任的漏洞披露,恶意传播漏洞,或在报告漏洞后、漏洞未修复前,对漏洞进行公开、传播或交易的行为。
(7)有害或者结果不可控的安全测试行为。
(8)违反国际通用法律或者当地法规的测试行为。
(9)不能妥善保管漏洞测试过程中的数据,导致DJI蒙受损失的行为。
测试过程中有任何疑问,随时和DJI(bugbounty@dji.com)联系,我们将为您进行详细的指引。

注意

通过DJI漏洞奖励计划,向DJI提交漏洞,将等同于你已接受DJI漏洞报告和奖励的全部条款。可以在 这里 获取条款的详细内容。

漏洞报告流程

chart 1

漏洞报告有效范围

仅涉及以下DJI产品及服务的漏洞报告才能参与DJI漏洞奖励计划(最后一次更新时间:2024-3-18):
1. 域名:dji.com、skypixel.com、djicdn.com、djivideos.com、dji.net、robomaster.com、djiservice.org、enterprise.dji.com、ag.dji.com、auto.dji.com。
2. APP: DJI GO、DJI GO 4、DJI Assistant、DJI Assistant 2、DJI Mimo、畅片、DJI Ronin、DJI Fly、DJI Pilot等DJI官方APP。
3. 设备:在DJI安全维护周期内的所有产品。
注意 将不会接受:1)不再销售的产品或者已经宣布不再支持的产品漏洞;2)和DJI有关的供应商或者合作伙伴的漏洞。

漏洞报告要求

符合要求并且高质量的漏洞报告将会加快DJI 漏洞评估的进程,同时加快您获得奖金的进程。高质量的报告包括:
1. 详细描述漏洞的细节,并请包括漏洞的易利用程度和危害。
2. 复现漏洞的详细步骤。
3. 提供详细的测试环境信息,包括:
(a)漏洞涉及的URL/APP 、代码片段。对于设备,请提供设备的型号,版本以及SN。
(b)您在测试使用的公网IP地址。
(c)您在测试时使用的用户账号。
(d)非破坏性的漏洞POC(比如对于RCE漏洞,运行“hello world”)。
(e)请保留测试时的数据,并且作为报告附件提交。
注意:缺少这些信息可能会导致我们评估漏洞困难,并且影响到对您的响应和支付奖金。

负责任的漏洞披露

DJI 鼓励负责任的漏洞披露,包括:
1. 不在未获得 DJI 书面许可的情况下公布或告知他人漏洞细节。
2. 获得许可后,在披露过程中不得公布与用户隐私数据、DJI 服务器地址等可能侵犯DJI及用户隐私的信息。
3. 客观、诚实地描述漏洞的影响,夸大漏洞影响,煽动用户恐慌的行为将会受到追究。
4. 任何访问、下载、传播DJI 源码或者数据的行为可能触犯法律,并且DJI保留追究的权利。

漏洞评级因素

在对漏洞进行评级时,DJI 将主要考虑以下几个因素:
1. 可能泄漏的数据的敏感程度,数量。
2. 漏洞的易利用程度。
3. 可能对DJI用户造成的损失或者总体风险。
4. 影响到DJI产品的范围或者服务器的范围。
而如下的因素不会被考虑:
1. 您在漏洞挖掘过程中投入的时间成本。
2. 您为了漏洞挖掘所购买DJI产品的花费。
3. 其他不能明确漏洞影响或者严重程度的因素。

漏洞评级标准及奖励

DJI会给满足条件的漏洞报告者发放奖金或其他形式的非现金奖励,以表示对漏洞报告者的感谢。
1. 漏洞的第一报告者。
2. DJI 安全团队认定漏洞确实有效并且产生实际影响。
3. 漏洞报告者接受并遵守所有的条款。
4.致命/高/中级别漏洞将在90工作日内修复,低危风险漏洞将在180工作日内修复。漏洞修复可能会受环境或硬件的限制,实际修复时间将根据具体情况确认。
注意:1)已知漏洞不能获得奖励;2)DJI 拥有对奖励的最终解释权;3)对于奖金产生的税收,由漏洞报告者承担。

chart 2

设备

chart 3

APP

chart 4

服务器

chart 5

说明
[1]大量: 超过10000条;
[2]敏感信息:指身份证, 护照,信用卡,订单物流信息等信息;
[3]一般信息:指电话号码,邮件地址,用户账户等信息。

非现金奖励

chart 6

条款变更

DJI 有权在任何时候变更漏洞奖励计划的相关条款,策略和奖金金额,而不对报告者进行通知。

争议解决办法

在漏洞报告处理过程中,如果报告者对流程处理、漏洞定级、漏洞评分等有异议的,可以通过邮箱:bugbounty@dji.com,并以标题[DJI漏洞处理异议]与工作人员及时反馈沟通。

建议反馈

任何意见和建议,欢迎通过邮箱bugbounty@dji.com进行反馈。

最终解释权归DJI安全应急响应中心所有。

V1.2,更新于2024年3月18日