Както вече се случва в много международни компании, говорим например за компании като Microsoft, Amazon, Google, Facebook ..., DJI реши да пусне платформа, чрез която по много прост начин всяко лице, външно за компанията, което открие проблем или неизправност, които могат да повлияят на безопасността на всеки потребител на нейните продукти, може докладвайте и получете награда в замяна.
Както сме свикнали да виждаме, говорим за много примамлива и интересна инициатива за много напреднали потребители, способни да открият този тип проблеми, тъй като в същото време те обикновено получават икономическа награда много интересно, което ги кара да продължат да работят по този тип констатации, компанията може значително подобряват сигурността на вашите услуги, особено тези, които засягат определени лични данни на неговите клиенти, като лична информация, снимки, видеоклипове или полетни записи.
DJI заплашва потребител, който е поискал наградата си, след като е открил недостатък в сигурността на сървърите си
На този етап искам да поговоря с вас за случая с Кевин Финистър, софтуерен инженер, който успя да открие недостатък в сигурността на сървърите на DJI, който му позволи да получи достъп до информация за частни клиенти. Проблемът беше, че компанията неволно пусна частен ключ на SSL сертификата, който са използвали, и AES ключа използва се за подписване на автентичността на актуализациите на фърмуера на вашите дронове.
Kevin Finisterre, осъзнавайки тази грешка, реши да пише на DJI и да попита дали техните сървъри са в рамките на обхват на програмата за възнаграждение при идентифициране на повреди, на които самият DJI отговори с a Si. С този отговор той започна да разследва и откри това частният ключ на вашия цифров сертификат е бил в хранилище на Github повече от четири години и че някои от вашите акаунти в Amazon Web Service бяха маркирани като обществени така че всеки потребител може да има достъп до хиляди файлове, фактури, снимки на хора ...
С това разследване Кевин Финистър започва да събира информация и да прави стотици доклади, един разследване, което в крайна сметка доведе до около 130 имейла до DJI подробно описва проблемите със сигурността, които е открил на своите сървъри. Отговорът на DJI беше да посочи, че сървърите вече не са в програмата за награди. въпреки че малко след това той получи имейл, в който посочва, че е получил най-високата позиция по отношение на наградите, което го е накарало да спечели Щатски долара 30.000.
Малко по-късно той получи имейл с договор, който го изисква да не обсъждате подробности за работата, която сте свършили публично, докато го принуждава казват, че не са извършили никаква работа по сигурността за DJI във всеки един момент. Малко след това беше DJI правен отдел този, който се е свързал с него, за да го принуди да унищожи цялата информация и данни, открити по време на разследването, ако не е искал да му бъдат повдигнати обвинения.