DJI ohrožuje uživatele, který nahlásil narušení zabezpečení na svých serverech

Jak již v mnoha mezinárodních společnostech platí, jedná se například o společnosti jako Microsoft, Amazon, Google, Facebook ..., DJI se rozhodla zahájit platformu, pomocí které by velmi snadno mohla jakákoli osoba mimo společnost, která zjistí problém nebo selhání, které by mohly ovlivnit bezpečnost jakéhokoli spotřebitele jejích výrobků, nahlaste to a na oplátku získáte odměnu.

Jak jsme zvyklí vidět, mluvíme o velmi lákavé a zajímavé iniciativě pro mnoho pokročilých uživatelů, kteří jsou schopni detekovat tento typ problému, protože zároveň běžně dostávají ekonomická odměna velmi zajímavé, díky čemuž mohou pokračovat v práci na tomto typu zjištění, společnost může výrazně zlepšit zabezpečení vašich služeb, zejména těch, které ovlivňují určitá soukromá data jejích klientů, jako jsou jejich osobní údaje, fotografie, videa nebo letové záznamy.

DJI vyhrožuje uživateli, který požádal o jeho odměnu poté, co zjistil bezpečnostní chybu na svých serverech

V tomto okamžiku s vámi chci mluvit o případu Kevin Finisterre, softwarový inženýr, který dokázal detekovat bezpečnostní chybu na serverech DJI, která mu umožnila přístup k soukromým informacím o zákaznících. Problém byl v tom, že společnost nechtěně vydala soukromý klíč použitého certifikátu SSL a klíče AES slouží k podpisu pravosti aktualizací firmwaru vašich dronů.

Když si tuto chybu uvědomil Kevin Finisterre, rozhodl se napsat společnosti DJI a zeptat se, zda jsou jejich servery uvnitř rozsah odměnového programu při identifikaci poruch, na které sám DJI odpověděl a Si. S touto odpovědí začal vyšetřovat a objevil to soukromý klíč vašeho digitálního certifikátu byl v úložišti Github více než čtyři roky a že některé z vašich účtů ve službě Amazon Web Service byly označeny jako veřejné takže každý uživatel mohl mít přístup k tisícům souborů, faktur, fotografií lidí ...

Tímto vyšetřováním začal Kevin Finisterre shromažďovat informace a vydávat stovky zpráv, jedno vyšetřování, které nakonec vyústilo v přibližně 130 e-mailů společnosti DJI podrobně popisující bezpečnostní problémy, které našel na svých serverech. Reakcí DJI bylo naznačit, že servery již nejsou v programu odměn. i když krátce poté dostal e-mail s oznámením, že získal nejvyšší pozici z hlediska odměn, což ho vedlo k vítězství Americký dolar 30.000.

Krátce nato dostal e-mail se smlouvou, která ho vyžadovala nediskutovat o podrobnostech práce, kterou jste odvedli veřejně, zatímco ho k tomu nutí říkají, že pro DJI neudělali žádnou bezpečnostní práci v každém okamžiku. Krátce poté byla Právní oddělení DJI ten, kdo ho kontaktoval, aby ho donutil zničit všechny informace a údaje zjištěné během vyšetřování, pokud by nechtěl čelit obvinění ze zákona.


Obsah článku se řídí našimi zásadami redakční etika. Chcete-li nahlásit chybu, klikněte zde.

Buďte první komentář

Zanechte svůj komentář

Vaše e-mailová adresa nebude zveřejněna. Povinné položky jsou označeny *

*

*

  1. Odpovědný za údaje: Miguel Ángel Gatón
  2. Účel údajů: Ovládací SPAM, správa komentářů.
  3. Legitimace: Váš souhlas
  4. Sdělování údajů: Údaje nebudou sděleny třetím osobám, s výjimkou zákonných povinností.
  5. Úložiště dat: Databáze hostovaná společností Occentus Networks (EU)
  6. Práva: Vaše údaje můžete kdykoli omezit, obnovit a odstranit.