Mint sok nemzetközi vállalatnál már megtörtént, beszélünk például olyan vállalatokról, mint a Microsoft, az Amazon, a Google, a Facebook ... DJI úgy döntött, hogy elindít egy platformot, amelyen keresztül nagyon egyszerű módon a vállalaton kívüli bármely személy, aki olyan problémát vagy hibát észlel, amely befolyásolhatja termékei bármely fogyasztójának biztonságát, jelentse be és kapjon jutalmat cserébe.
Ahogyan azt megszoktuk látni, nagyon csábító és érdekes kezdeményezésről beszélünk sok haladó felhasználó számára, akik képesek felismerni az ilyen típusú problémákat, mivel ugyanakkor általában gazdasági jutalom nagyon érdekes, ami arra készteti őket, hogy folytassák az ilyen típusú megállapítások kidolgozását, a vállalat megteheti jelentősen javítja szolgáltatásai biztonságát, különösen azok, amelyek befolyásolják ügyfelei bizonyos személyes adatait, például személyes adataikat, fényképeiket, videóikat vagy repülési nyilvántartásaikat.
A DJI megfenyegeti a felhasználót, aki a jutalmát kérte, miután biztonsági hibát talált szerverein
Ezen a ponton szeretnék veled beszélni a Kevin Finisterre, egy szoftvermérnök, aki képes volt felismerni a DJI szervereiben egy olyan biztonsági hibát, amely lehetővé tette számára, hogy hozzáférjen a magánügyfelek információihoz. A probléma az volt, hogy a vállalat akaratlanul is kiadta a az általuk használt SSL tanúsítvány és az AES kulcs privát kulcsa használták drónjainak firmware-frissítései hitelességének aláírására.
Kevin Finisterre, felismerve ezt a hibát, úgy döntött, hogy ír a DJI-nek, és megkérdezi, hogy szervereik a a jutalmazási program hatálya olyan kudarcok azonosításakor, amelyekre a DJI maga válaszolt a Si. Ezzel a válaszával nyomozni kezdett és felfedezte ezt digitális tanúsítványa magánkulcsa több mint négy évig volt a Github adattárában és ez az Amazon Web Service-ben lévő fiókjainak egy részét nyilvánosként jelölte meg így minden felhasználó hozzáférhet ezer fájlhoz, számlához, emberek fényképéhez ...
Ezzel a vizsgálattal Kevin Finisterre információkat kezdett gyűjteni és több száz jelentést készített, egyet nyomozás eredményeként végül mintegy 130 e-mailt küldött a DJI-nek részletesen bemutatja a szerverein talált biztonsági problémákat. A DJI válasza azt jelezte, hogy a szerverek már nem szerepelnek a fejdíjas programban. bár röviddel ezután kapott egy e-mailt, amelyben jelezte, hogy a jutalmak tekintetében a legmagasabb pozíciót szerezte meg, ami győzelemre késztette USA dollár 30.000.
Röviddel ezután e-mailt kapott egy szerződéssel, amely megkövetelte nem tárgyalja az elvégzett munka részleteit nyilvánosan, miközben arra kényszerítette mondják, hogy nem végeztek biztonsági munkát a DJI-nél bármelyik pillanatban. Röviddel ezután volt a DJI jogi osztály aki kapcsolatba lépett vele, hogy arra kényszerítse, hogy semmisítse meg a nyomozás során feltárt összes adatot és adatot, ha nem akar jogi vádat emelni.