Wie es bereits in vielen internationalen Unternehmen der Fall ist, sprechen wir beispielsweise von Unternehmen wie Microsoft, Amazon, Google, Facebook..., DJI beschlossen, eine Plattform zu starten, über die auf sehr einfache Weise jede Person außerhalb des Unternehmens, die ein Problem oder einen Fehler entdeckt, der die Sicherheit eines Verbrauchers seiner Produkte beeinträchtigen könnte, dies tun kann Melden Sie es und erhalten Sie im Gegenzug eine Belohnung.
Wie wir es gewohnt sind, handelt es sich um eine sehr verlockende und interessante Initiative für viele fortgeschrittene Benutzer, die in der Lage sind, diese Art von Problem zu erkennen, während sie normalerweise ein Problem erhalten finanzielle Belohnung Es ist sehr interessant, dass das Unternehmen weiterhin an solchen Erkenntnissen arbeiten kann Verbessern Sie die Sicherheit Ihrer Dienste erheblich, insbesondere solche, die bestimmte private Daten seiner Kunden betreffen, wie z. B. deren persönliche Daten, Fotos, Videos oder Flugaufzeichnungen.
DJI bedroht einen Benutzer, der seine Belohnung verlangt, nachdem er eine Sicherheitslücke in seinen Servern entdeckt hat
An dieser Stelle möchte ich mit Ihnen über den Fall sprechen Kevin Finisterre, ein Softwareentwickler, der eine Sicherheitslücke in den Servern von DJI entdecken konnte, die ihm den Zugriff auf private Kundeninformationen ermöglichte. Das Problem bestand darin, dass das Unternehmen dies versehentlich öffentlich machte privaten Schlüssel des von ihnen verwendeten SSL-Zertifikats und den AES-Schlüssel Wird verwendet, um die Authentizität von Firmware-Updates für Ihre Drohnen zu signieren.
Als Kevin Finisterre diesen Fehler erkannte, beschloss er, an DJI zu schreiben und zu fragen, ob sich ihre Server im Netzwerk befinden Umfang des Prämienprogramms bei der Identifizierung von Fehlern, auf die DJI selbst mit einem antwortete Si. Mit dieser Antwort begann er zu recherchieren und entdeckte das Der private Schlüssel Ihres digitalen Zertifikats befand sich mehr als vier Jahre lang in einem Github-Repository dass Einige Ihrer Konten bei Amazon Web Service wurden als öffentlich markiert So könnte jeder Benutzer Zugriff auf Tausende von Dateien, Rechnungen, Fotos von Personen usw. haben.
Mit dieser Untersuchung begann Kevin Finisterre, Informationen zu sammeln und Hunderte von Berichten zu erstellen Die Untersuchung endete schließlich mit etwa 130 E-Mails an DJI detaillierte Sicherheitsprobleme, die es auf seinen Servern gefunden hatte. Die Antwort von DJI bestand darin, darauf hinzuweisen, dass die Server nicht mehr am Belohnungsprogramm teilnahmen Allerdings erhielt er kurz darauf eine E-Mail mit dem Hinweis, dass er in Bezug auf die Belohnungen die höchste Position erreicht hatte, was ihn zum Verdienen veranlasste Dollar 30.000.
Kurze Zeit später erhielt er eine E-Mail mit einem Vertrag, der ihn dazu zwang Details der von ihm geleisteten Arbeit nicht besprechen öffentlich, während er ihn dazu zwingt sagen, dass er keinerlei Sicherheitsarbeit für DJI geleistet hat in jedem Moment. Kurz darauf war er DJI-Rechtsabteilung derjenige, der ihn kontaktiert hatte, um ihn zu zwingen, alle während der Untersuchung entdeckten Informationen und Daten zu vernichten, wenn er nicht strafrechtlich verfolgt werden wollte.