Come già accade in molte aziende internazionali, parliamo, ad esempio, di aziende come Microsoft, Amazon, Google, Facebook ..., DJI ha deciso di lanciare una piattaforma attraverso la quale, in modo molto semplice, qualsiasi persona esterna all'azienda che rilevi un problema o un guasto che può pregiudicare la sicurezza di qualsiasi consumatore dei suoi prodotti, potrebbe segnalalo e ricevi una ricompensa in cambio.
Come siamo abituati a vedere, stiamo parlando di un'iniziativa molto allettante e interessante per molti utenti avanzati in grado di rilevare questo tipo di problema poiché, allo stesso tempo normalmente ricevono un ricompensa economica molto interessante che li fa continuare a lavorare su questo tipo di risultati, l'azienda può migliorare in modo significativo la sicurezza dei tuoi servizi, in particolare quelli che influenzano determinati dati privati dei suoi clienti come le loro informazioni personali, foto, video o registrazioni di volo.
DJI minaccia un utente che ha chiesto la sua ricompensa dopo aver trovato una falla di sicurezza nei suoi server
A questo punto voglio parlarvi del caso di Kevin Finisterre, un ingegnere del software che è stato in grado di rilevare una falla di sicurezza nei server di DJI che gli ha permesso di accedere alle informazioni dei clienti privati. Il problema era che la società inavvertitamente ha rilasciato il file chiave privata del certificato SSL utilizzato e la chiave AES utilizzato per firmare l'autenticità degli aggiornamenti del firmware dei tuoi droni.
Kevin Finisterre, rendendosi conto di questo errore, ha deciso di scrivere a DJI e chiedere se i suoi server si trovano all'interno del file ambito del programma di ricompensa quando si identificano guasti a cui lo stesso DJI ha risposto con a Si. Con questa risposta iniziò a indagare e lo scoprì la chiave privata del tuo certificato digitale è rimasta in un repository Github per più di quattro anni e alcuni dei tuoi account su Amazon Web Service sono stati contrassegnati come pubblici in modo che qualsiasi utente possa avere accesso a migliaia di file, fatture, foto di persone ...
Con questa indagine, Kevin Finisterre ha iniziato a raccogliere informazioni e fare centinaia di segnalazioni, una indagine che alla fine ha portato a circa 130 e-mail a DJI dettagliare i problemi di sicurezza che aveva riscontrato sui suoi server. La risposta di DJI è stata quella di indicare che i server non erano più nel programma di taglie. anche se, poco dopo, ha ricevuto una mail in cui si diceva di aver ottenuto la posizione più alta in termini di ricompense, cosa che lo ha portato a vincere Dollari 30.000.
Poco tempo dopo, ha ricevuto un'e-mail con un contratto che lo richiedeva non discutere i dettagli del lavoro che avevi svolto pubblicamente costringendolo a farlo dicono di non aver svolto alcun lavoro di sicurezza per DJI in qualsiasi momento. Poco dopo è stato il Ufficio legale DJI colui che lo ha contattato per costringerlo a distruggere tutte le informazioni ei dati scoperti durante le indagini se non voleva affrontare le accuse legali.