كما هو الحال بالفعل في العديد من الشركات العالمية ، فإننا نتحدث ، على سبيل المثال ، عن شركات مثل Microsoft و Amazon و Google و Facebook ... ، DJI قررت إطلاق منصة يمكن من خلالها ، بطريقة بسيطة جدًا ، لأي شخص خارج الشركة يكتشف مشكلة أو فشلًا قد يؤثر على سلامة أي مستهلك لمنتجاتها ، أبلغ عنه واحصل على مكافأة في المقابل.
كما اعتدنا أن نرى ، نحن نتحدث عن مبادرة مغرية للغاية ومثيرة للاهتمام للعديد من المستخدمين المتقدمين القادرين على اكتشاف هذا النوع من المشاكل ، حيث أنهم يتلقون عادةً في نفس الوقت المكافأة الاقتصادية مثيرة للاهتمام للغاية التي تجعلهم يواصلون العمل على هذا النوع من النتائج ، تستطيع الشركة ذلك تحسن بشكل كبير من أمن خدماتك، خاصة تلك التي تؤثر على بعض البيانات الخاصة لعملائها مثل المعلومات الشخصية أو الصور أو مقاطع الفيديو أو سجلات رحلات الطيران.
تهدد DJI المستخدم الذي طلب مكافأته بعد اكتشاف ثغرة أمنية في خوادمه
في هذه المرحلة أريد أن أتحدث إليكم عن حالة كيفن فينيستر، مهندس برمجيات كان قادرًا على اكتشاف عيب أمني في خوادم DJI سمح له بالوصول إلى معلومات العملاء الخاصة. كانت المشكلة أن الشركة أصدرت عن غير قصد ملف المفتاح الخاص لشهادة SSL التي استخدموها ومفتاح AES تستخدم للتوقيع على أصالة تحديثات البرامج الثابتة لطائراتك بدون طيار.
قرر Kevin Finisterre ، إدراكًا لهذا الخطأ ، الكتابة إلى DJI والسؤال عما إذا كانت خوادمهم داخل نطاق نطاق برنامج المكافآت عند تحديد الإخفاقات التي ردت عليها DJI نفسها بامتداد Si. بهذه الإجابة بدأ في التحقيق واكتشف ذلك كان المفتاح الخاص لشهادتك الرقمية موجودًا في مستودع Github لأكثر من أربع سنوات وأن تم تمييز بعض حساباتك على Amazon Web Service على أنها عامة لذلك يمكن لأي مستخدم الوصول إلى آلاف الملفات والفواتير وصور الأشخاص ...
مع هذا التحقيق ، بدأ كيفن فينيستر بجمع المعلومات وإعداد مئات التقارير ، إحداها التحقيق الذي أدى في النهاية إلى إرسال حوالي 130 رسالة بريد إلكتروني إلى DJI يشرح بالتفصيل المشاكل الأمنية التي وجدها على خوادمه. كان رد DJI هو الإشارة إلى أن الخوادم لم تعد موجودة في برنامج المكافآت. على الرغم من أنه تلقى بعد فترة وجيزة رسالة بريد إلكتروني تشير إلى حصوله على أعلى منصب من حيث المكافآت ، مما دفعه للفوز الدولار الأمريكي 30.000.
بعد وقت قصير ، تلقى بريدًا إلكترونيًا يتضمن عقدًا يلزمه بذلك لا تناقش تفاصيل العمل الذي أنجزته علنًا أثناء إجباره على ذلك يقولون إنهم لم يقوموا بأي عمل أمني لـ DJI في أي لحظة. بعد فترة وجيزة كان قسم الشؤون القانونية DJI من اتصل به لإجباره على إتلاف جميع المعلومات والبيانات التي تم اكتشافها أثناء التحقيق إذا لم يرغب في مواجهة تهم قانونية.