Como ya ocurre en muchas compañías internacionales, hablamos por ejemplo de empresas de la talla de Microsoft, Amazon, Google, Facebook…, DJI decidió poner en marcha una plataforma mediante la cual, de una forma muy sencilla, cualquier persona externa a la compañía que detectase algún problema o fallo que pueda afectar a la seguridad de cualquier consumidor de sus productos, pudiera reportarlo y recibir a cambio una recompensa.
Como estamos acostumbrados a ver, hablamos de una iniciativa muy tentadora e interesante para muchos usuarios avanzados capaces de detectar este tipo de problemas ya que, a la vez que ellos reciben normalmente una recompensa económica muy interesante que les hace seguir trabajando en este tipo de hallazgos, la empresa puede mejorar notablemente la seguridad de sus servicios, sobre todo los que afectan a determinados datos privados de sus clientes como puede ser su información personal, fotos, vídeos o registros de vuelo.
DJI amenaza a un usuario que pedía su recompensa tras encontrar un fallo de seguridad en sus servidores
Llegados a este punto quiero hablarte del caso de Kevin Finisterre, un ingeniero software que fue capaz de detectar un fallo de seguridad en los servidores de DJI que le permitió acceder a la información privada de clientes. El problema fue que la compañía, sin querer, hizo pública la clave privada del certificado SSL que utilizaban y la llave AES usada para firmar la autenticidad de las actualizaciones de firmware de sus drones.
Kevin Finisterre, al darse cuenta de este error, decidió escribir a DJI y preguntar si sus servidores están dentro del alcance del programa de recompensa al identificar fallos a lo que la propia DJI le contestó con un Si. Con esta respuesta se puso a investigar y descubrió que la clave privada de su certificado digital estaba en un repositorio de Github desde hace más de cuatro años y que algunas de sus cuentas en Amazon Web Service estaban marcadas como públicas por lo que cualquier usuario podía tener acceso a miles de archivos, facturas, fotos de personas…
Con esta investigación, Kevin Finisterre comenzó a recabar información y realizar cientos de informes, una investigación que finalmente acabó con unos 130 emails a DJI detallando los problemas de seguridad que había encontrado en sus servidores. La respuesta de DJI fue la de indicar que los servidores ya no estaban dentro del programa de recompensa aunque, al poco tiempo, recibió un email indicando que había obtenido el puesto más alto en cuanto a recompensas, lo que le llevaba a ganar 30.000 dólares.
Poco tiempo después recibió un email con un contrato que le obligaba a no discutir detalles del trabajo que había realizado de forma pública a la vez que lo obligaba a decir que no había realizado ningún tipo de trabajo de seguridad para DJI en ningún momento. Poco después fue el departamento legal de DJI el que se puso en contacto con el para obligarle a destruir toda la información y datos descubiertos durante la investigación si no quería enfrentarse a cargos legales.