Όπως συμβαίνει ήδη σε πολλές διεθνείς εταιρείες, μιλάμε, για παράδειγμα, εταιρείες όπως η Microsoft, η Amazon, η Google, το Facebook ..., DJI αποφάσισε να ξεκινήσει μια πλατφόρμα μέσω της οποίας, με πολύ απλό τρόπο, οποιοδήποτε άτομο εκτός της εταιρείας που εντοπίζει πρόβλημα ή αστοχία που μπορεί να επηρεάσει την ασφάλεια οποιουδήποτε καταναλωτή των προϊόντων της, θα μπορούσε αναφέρετέ το και λάβετε ανταμοιβή σε αντάλλαγμα.
Όπως συνηθίζουμε να βλέπουμε, μιλάμε για μια πολύ δελεαστική και ενδιαφέρουσα πρωτοβουλία για πολλούς προχωρημένους χρήστες που είναι σε θέση να εντοπίσουν αυτό το είδος προβλήματος, καθώς, ταυτόχρονα, λαμβάνουν συνήθως οικονομική ανταμοιβή πολύ ενδιαφέρον που τους κάνει να συνεχίσουν να εργάζονται σε αυτό το είδος των ευρημάτων, η εταιρεία μπορεί βελτιώσει σημαντικά την ασφάλεια των υπηρεσιών σας, ειδικά εκείνα που επηρεάζουν ορισμένα ιδιωτικά δεδομένα των πελατών της, όπως τα προσωπικά τους στοιχεία, φωτογραφίες, βίντεο ή αρχεία πτήσεων.
Ο DJI απειλεί έναν χρήστη που ζήτησε την ανταμοιβή του αφού βρήκε ένα ελάττωμα ασφαλείας στους διακομιστές του
Σε αυτό το σημείο θέλω να σας μιλήσω για την περίπτωση του Κέβιν Φινιστέρε, ένας μηχανικός λογισμικού που μπόρεσε να εντοπίσει ένα ελάττωμα ασφαλείας στους διακομιστές του DJI που του επέτρεψε να έχει πρόσβαση σε προσωπικές πληροφορίες πελατών. Το πρόβλημα ήταν ότι η εταιρεία κυκλοφόρησε κατά λάθος το ιδιωτικό κλειδί του πιστοποιητικού SSL που χρησιμοποίησαν και το κλειδί AES χρησιμοποιείται για την υπογραφή της αυθεντικότητας των ενημερώσεων υλικολογισμικού των drones σας.
Ο Kevin Finisterre, συνειδητοποιώντας αυτό το σφάλμα, αποφάσισε να γράψει στον DJI και να ρωτήσει εάν οι διακομιστές τους βρίσκονται εντός του πεδίο εφαρμογής του προγράμματος ανταμοιβής κατά τον εντοπισμό αστοχιών στις οποίες ο ίδιος ο DJI απάντησε με ένα Si. Με αυτήν την απάντηση άρχισε να ερευνά και να το ανακαλύπτει το ιδιωτικό κλειδί του ψηφιακού σας πιστοποιητικού ήταν σε ένα αποθετήριο Github για περισσότερα από τέσσερα χρόνια και ότι ορισμένοι από τους λογαριασμούς σας στο Amazon Web Service επισημάνθηκαν ως δημόσιοι έτσι οποιοσδήποτε χρήστης θα μπορούσε να έχει πρόσβαση σε χιλιάδες αρχεία, τιμολόγια, φωτογραφίες ατόμων ...
Με αυτήν την έρευνα, ο Kevin Finisterre άρχισε να συλλέγει πληροφορίες και να κάνει εκατοντάδες αναφορές, μία έρευνα που τελικά οδήγησε σε περίπου 130 emails στο DJI λεπτομερώς τα προβλήματα ασφαλείας που είχε βρει στους διακομιστές του. Η απάντηση του DJI ήταν να δείξει ότι οι διακομιστές δεν ήταν πλέον στο πρόγραμμα bounty. αν και, λίγο μετά, έλαβε ένα μήνυμα ηλεκτρονικού ταχυδρομείου που δείχνει ότι είχε λάβει την υψηλότερη θέση όσον αφορά τις ανταμοιβές, γεγονός που τον οδήγησε να κερδίσει Δολάρια 30.000.
Λίγο αργότερα, έλαβε ένα email με ένα συμβόλαιο που τον απαιτούσε δεν συζητάμε λεπτομέρειες για την εργασία που είχατε κάνει δημόσια, αναγκάζοντάς τον να λένε ότι δεν είχαν κάνει κάποια εργασία ασφαλείας για το DJI σε οποιαδήποτε στιγμή. Λίγο μετά ήταν το Νομικό τμήμα DJI αυτός που τον ήρθε σε επαφή για να τον αναγκάσει να καταστρέψει όλες τις πληροφορίες και τα δεδομένα που ανακαλύφθηκαν κατά τη διάρκεια της έρευνας, εάν δεν ήθελε να αντιμετωπίσει νομικές κατηγορίες.