Comme c'est déjà le cas dans de nombreuses entreprises internationales, on parle par exemple d'entreprises comme Microsoft, Amazon, Google, Facebook ..., DJI a décidé de lancer une plateforme à travers laquelle, de manière très simple, toute personne extérieure à l'entreprise qui détecte un problème ou une défaillance pouvant affecter la sécurité de tout consommateur de ses produits, pourrait signalez-le et recevez une récompense en retour.
Comme nous avons l'habitude de le voir, nous parlons d'une initiative très tentante et intéressante pour de nombreux utilisateurs avancés capables de détecter ce type de problème car, en même temps, ils reçoivent normalement un récompense économique très intéressant qui les fait continuer à travailler sur ce type de constatations, l'entreprise peut améliorer considérablement la sécurité de vos services, en particulier celles qui affectent certaines données privées de ses clients telles que leurs informations personnelles, photos, vidéos ou enregistrements de vols.
DJI menace un utilisateur qui a demandé sa récompense après avoir trouvé une faille de sécurité dans ses serveurs
À ce stade, je veux vous parler du cas de Kévin Finisterre, un ingénieur logiciel qui a pu détecter une faille de sécurité dans les serveurs de DJI lui permettant d'accéder aux informations privées des clients. Le problème était que la société avait par inadvertance publié le clé privée du certificat SSL utilisé et de la clé AES utilisé pour signer l'authenticité des mises à jour du firmware de vos drones.
Kevin Finisterre, réalisant cette erreur, a décidé d'écrire à DJI et de lui demander si leurs serveurs se trouvent dans le la portée du programme de récompenses lors de l'identification des pannes auxquelles le DJI lui-même a répondu par un Si. Avec cette réponse, il a commencé à enquêter et a découvert que la clé privée de votre certificat numérique était dans un référentiel Github pendant plus de quatre ans et que certains de vos comptes sur Amazon Web Service ont été marqués comme publics afin que tout utilisateur puisse avoir accès à des milliers de fichiers, factures, photos de personnes ...
Avec cette enquête, Kevin Finisterre a commencé à rassembler des informations et à faire des centaines de rapports, un enquête qui a finalement abouti à environ 130 e-mails à DJI détaillant les problèmes de sécurité rencontrés sur ses serveurs. La réponse de DJI a été d'indiquer que les serveurs ne faisaient plus partie du programme de primes. même si, peu de temps après, il a reçu un e-mail indiquant qu'il avait obtenu la position la plus élevée en termes de récompenses, ce qui l'a amené à gagner Dolaires 30.000.
Peu de temps après, il a reçu un e-mail avec un contrat qui l'obligeait à ne pas discuter des détails du travail que vous avez effectué publiquement en le forçant à disent qu'ils n'avaient effectué aucun travail de sécurité pour DJI à tout moment. Peu de temps après, le Département juridique DJI celui qui l'a contacté pour le forcer à détruire toutes les informations et données découvertes au cours de l'enquête s'il ne voulait pas faire face à des poursuites judiciaires.