Som det allerede er tilfældet i mange internationale virksomheder, taler vi f.eks. Om virksomheder som Microsoft, Amazon, Google, Facebook ..., DJI besluttede at lancere en platform, hvorigennem på en meget enkel måde enhver person uden for virksomheden, der opdager et problem eller en fejl, der kan påvirke sikkerheden for enhver forbruger af dets produkter, kunne rapporter det og modtag en belønning til gengæld.
Som vi er vant til at se, taler vi om et meget fristende og interessant initiativ for mange avancerede brugere, der er i stand til at opdage denne type problemer, da de samtidig modtager en økonomisk belønning meget interessant, der får dem til at fortsætte med at arbejde på denne type fund, kan virksomheden forbedre sikkerheden for dine tjenester markant, især dem, der påvirker visse private data om sine kunder, såsom deres personlige oplysninger, fotos, videoer eller flyoptegnelser.
DJI truer en bruger, der bad om hans belønning efter at have fundet en sikkerhedsfejl på sine servere
På dette tidspunkt vil jeg tale med dig om sagen om Kevin Finisterre, en softwareingeniør, der var i stand til at opdage en sikkerhedsfejl på DJIs servere, der tillod ham at få adgang til private kundeoplysninger. Problemet var, at virksomheden uforvarende lavede privat nøgle til det SSL-certifikat, de brugte, og AES-nøglen bruges til at underskrive ægtheden af firmwareopdateringerne til dine droner.
Kevin Finisterre, der indså denne fejl, besluttede at skrive til DJI og spørge, om deres servere er inden for belønningsprogrammets omfang når man identificerer fejl, som DJI'en selv svarede med en Si. Med dette svar begyndte han at undersøge og opdagede det den private nøgle til dit digitale certifikat var i et Github-arkiv i mere end fire år og at nogle af dine konti på Amazon Web Service blev markeret som offentlige så enhver bruger kunne få adgang til tusindvis af filer, fakturaer, fotos af mennesker ...
Med denne efterforskning begyndte Kevin Finisterre at samle information og lave hundredvis af rapporter, en undersøgelse, der i sidste ende resulterede i omkring 130 e-mails til DJI der beskriver de sikkerhedsproblemer, den havde fundet på sine servere. DJIs svar var at indikere, at serverne ikke længere var i bounty-programmet. skønt han kort efter modtog en e-mail om, at han havde opnået den højeste position med hensyn til belønninger, hvilket førte ham til at vinde Dollar 30.000.
Kort tid senere modtog han en e-mail med en kontrakt, der krævede ham ikke drøfte detaljer om det arbejde, du havde udført offentligt mens han tvang ham til siger, at de ikke havde udført noget sikkerhedsarbejde for DJI i ethvert øjeblik. Kort efter var den DJI juridisk afdeling den, der kontaktede ham for at tvinge ham til at ødelægge al information og data, der blev opdaget under efterforskningen, hvis han ikke ønskede at blive anklaget.