Kao što je slučaj u mnogim međunarodnim kompanijama, govorimo, na primjer, o kompanijama kao što su Microsoft, Amazon, Google, Facebook ... DJI je odlučio pokrenuti platformu putem koje bi, na vrlo jednostavan način, bilo koja osoba van kompanije koja otkrije problem ili kvar koji može utjecati na sigurnost bilo kojeg potrošača njenih proizvoda, mogla prijavite to i zauzvrat primite nagradu.
Kao što smo navikli vidjeti, govorimo o vrlo primamljivoj i zanimljivoj inicijativi za mnoge napredne korisnike koji su sposobni otkriti ovu vrstu problema, jer u isto vrijeme obično dobijaju ekonomska nagrada vrlo zanimljivo zbog čega nastavljaju raditi na ovoj vrsti nalaza, kompanija to može značajno poboljšati sigurnost vaših usluga, posebno oni koji utječu na određene privatne podatke njegovih klijenata, poput njihovih osobnih podataka, fotografija, videozapisa ili zapisa leta.
DJI prijeti korisniku koji je tražio njegovu nagradu nakon što je pronašao sigurnosnu manu na svojim serverima
U ovom trenutku želim razgovarati s vama o slučaju Kevin Finisterre, softverski inženjer koji je uspio otkriti sigurnosnu manu na DJI-jevim serverima koja mu je omogućila pristup podacima privatnih kupaca. Problem je bio u tome što je kompanija nehotice pustila privatni ključ SSL certifikata koji su koristili i AES ključ koristi se za potpisivanje autentičnosti ažuriranja firmvera vaših dronova.
Kevin Finisterre, shvativši ovu grešku, odlučio je pisati DJI-u i pitati jesu li njihovi serveri unutar opseg programa nagrađivanja prilikom prepoznavanja kvarova na koje je sam DJI odgovorio s Si. Ovim odgovorom započeo je istragu i otkrio to privatni ključ vašeg digitalnog certifikata bio je u skladištu Github više od četiri godine i to neki od vaših računa na usluzi Amazon Web Service označeni su kao javni tako da je svaki korisnik mogao imati pristup hiljadama datoteka, faktura, fotografija ljudi ...
Ovom istragom Kevin Finisterre počeo je prikupljati informacije i sačinjavati stotine izvještaja, jedan istraga koja je na kraju rezultirala oko 130 e-maila DJI-ju detaljno opisujući sigurnosne probleme koje je pronašao na svojim serverima. DJI-jev odgovor bio je naznačiti da serveri više nisu u programu nagrađivanja. iako je ubrzo nakon toga dobio e-mail u kojem navodi da je stekao najvišu poziciju u pogledu nagrada, što ga je dovelo do pobjede 30.000 dolara.
Kratko vrijeme kasnije, dobio je e-poštu s ugovorom koji je od njega tražio ne razgovarajući o detaljima vašeg posla javno dok ga je prisiljavao kažu da nisu obavili nikakav sigurnosni posao za DJI u bilo kom trenutku. Ubrzo nakon toga DJI pravni odjel onaj koji ga je kontaktirao da bi ga prisilio da uništi sve informacije i podatke otkrivene tokom istrage ako ne želi da se suoči sa zakonskim optužbama.