Kuten jo monissa kansainvälisissä yrityksissä, puhumme esimerkiksi Microsoftin, Amazonin, Googlen, Facebookin ... DJI päätti käynnistää foorumin, jonka kautta kuka tahansa yrityksen ulkopuolinen henkilö, joka havaitsee ongelman tai epäonnistumisen, joka voi vaikuttaa tuotteensa kuluttajan turvallisuuteen, voisi ilmoita siitä ja saa palkkion vastineeksi.
Kuten olemme tottuneet näkemään, puhumme erittäin houkuttelevasta ja mielenkiintoisesta aloitteesta monille edistyneille käyttäjille, jotka pystyvät havaitsemaan tämän tyyppiset ongelmat, koska samalla he yleensä taloudellinen palkkio erittäin mielenkiintoinen, mikä saa heidät jatkamaan työskentelyä tämäntyyppisten havaintojen parissa, yritys voi parantaa merkittävästi palvelujesi turvallisuutta, erityisesti ne, jotka vaikuttavat asiakkaiden tiettyihin yksityisiin tietoihin, kuten heidän henkilökohtaisiin tietoihinsa, valokuviin, videoihin tai lentotietoihin.
DJI uhkaa käyttäjää, joka on pyytänyt palkkionsa löytynyt palvelimissaan tietoturva-aukosta
Tässä vaiheessa haluan puhua kanssasi tapauksesta Kevin Finisterre, ohjelmistoinsinööri, joka pystyi havaitsemaan DJI: n palvelimien tietoturva-aukon, joka antoi hänelle pääsyn yksityisiin asiakastietoihin. Ongelmana oli, että yritys teki vahingossa käyttämänsä SSL-varmenteen yksityinen avain ja AES-avain käytetään allekirjoittamaan droneidesi laiteohjelmistopäivitysten aitous.
Kevin Finisterre ymmärsi tämän virheen ja päätti kirjoittaa DJI: lle ja kysyä, ovatko heidän palvelimensa palkitsemisohjelman laajuus tunnistettaessa epäonnistumisia, joihin DJI itse vastasi a Si. Tällä vastauksella hän alkoi tutkia ja löysi sen digitaalisen varmenteen yksityinen avain oli Github-arkistossa yli neljä vuotta ja että osa Amazon Web Service -tilistäsi oli merkitty julkisiksi joten kuka tahansa käyttäjä voi käyttää tuhansia tiedostoja, laskuja, valokuvia ihmisistä ...
Tämän tutkimuksen avulla Kevin Finisterre alkoi kerätä tietoja ja tehdä satoja raportteja, yksi lopulta noin 130 sähköpostia DJI: lle yksityiskohtaisesti palvelimiltaan löytyneet turvallisuusongelmat. DJI: n vastauksena oli osoittaa, että palvelimet eivät enää olleet palkkio-ohjelmassa. vaikka pian sen jälkeen hän sai sähköpostiviestin, jonka mukaan hän oli saanut korkeimman sijan palkinnoissa, mikä sai hänet voittamaan Yhdysvaltain dollari 30.000.
Pian sen jälkeen hän sai sähköpostin sopimuksella, joka vaati häntä keskustelematta tekemäsi työn yksityiskohdista julkisesti pakottaen häntä siihen sanovat, etteivät he olleet tehneet mitään turvallisuustyötä DJI: lle milloin tahansa. Pian sen jälkeen oli DJI lakiosasto se, joka otti yhteyttä häneen pakottaakseen hänet tuhoamaan kaikki tutkinnan aikana löydetyt tiedot, jos hän ei halunnut joutua syytteeseen.