Seperti yang sudah terjadi di banyak perusahaan internasional, kita berbicara, misalnya, perusahaan seperti Microsoft, Amazon, Google, Facebook ..., DJI memutuskan untuk meluncurkan platform di mana, dengan cara yang sangat sederhana, siapa pun di luar perusahaan yang mendeteksi masalah atau kegagalan yang dapat memengaruhi keselamatan konsumen mana pun dari produknya, dapat laporkan dan terima hadiah sebagai gantinya.
Seperti yang biasa kita lihat, kita berbicara tentang inisiatif yang sangat menggoda dan menarik bagi banyak pengguna tingkat lanjut yang mampu mendeteksi jenis masalah ini karena, pada saat yang sama mereka biasanya menerima imbalan ekonomi sangat menarik yang membuat mereka terus mengerjakan jenis temuan ini, perusahaan bisa meningkatkan keamanan layanan Anda secara signifikan, terutama yang memengaruhi data pribadi tertentu kliennya seperti informasi pribadi, foto, video, atau catatan penerbangan mereka.
DJI mengancam pengguna yang meminta imbalan setelah menemukan kelemahan keamanan di servernya
Pada titik ini saya ingin berbicara dengan Anda tentang kasus Kevin Finisterre, seorang insinyur perangkat lunak yang mampu mendeteksi kelemahan keamanan di server DJI yang memungkinkannya mengakses informasi pribadi pelanggan. Masalahnya adalah bahwa perusahaan secara tidak sengaja membuat kunci pribadi dari sertifikat SSL yang mereka gunakan dan kunci AES digunakan untuk menandatangani keaslian pembaruan firmware drone Anda.
Kevin Finisterre, menyadari kesalahan ini, memutuskan untuk menulis ke DJI dan menanyakan apakah server mereka ada di dalam lingkup program penghargaan ketika mengidentifikasi kegagalan yang DJI sendiri menjawab dengan a Si. Dengan jawaban ini dia mulai menyelidiki dan menemukan itu kunci pribadi sertifikat digital Anda berada di repositori Github selama lebih dari empat tahun dan bahwa beberapa akun Anda di Amazon Web Service ditandai sebagai publik sehingga setiap pengguna dapat memiliki akses ke ribuan file, faktur, foto orang ...
Dengan investigasi ini, Kevin Finisterre mulai mengumpulkan informasi dan membuat ratusan laporan, salah satunya investigasi yang akhirnya menghasilkan sekitar 130 email ke DJI merinci masalah keamanan yang ditemukan di servernya. Tanggapan DJI adalah untuk menunjukkan bahwa server tidak lagi dalam program bounty. meskipun, tidak lama kemudian, dia menerima email yang menunjukkan bahwa dia telah memperoleh posisi tertinggi dalam hal hadiah, yang membuatnya menang Dolar AS 30.000.
Beberapa waktu kemudian, dia menerima email dengan kontrak yang mengharuskannya tidak membahas detail pekerjaan yang telah Anda lakukan di depan umum sambil memaksanya mengatakan mereka tidak melakukan pekerjaan keamanan apa pun untuk DJI kapan saja. Tak lama setelah itu Departemen Hukum DJI orang yang menghubunginya untuk memaksanya menghancurkan semua informasi dan data yang ditemukan selama penyelidikan jika dia tidak ingin menghadapi tuntutan hukum.