כפי שכבר קורה בחברות בינלאומיות רבות, אנחנו מדברים למשל על חברות כמו מיקרוסופט, אמזון, גוגל, פייסבוק ..., DJI החליטו להשיק פלטפורמה שבאמצעותה, בצורה מאוד פשוטה, כל אדם חיצוני לחברה שמגלה בעיה או כשל שעלול להשפיע על בטיחותו של כל צרכן במוצריה, יכול לדווח על כך ולקבל תמורה תמורה.
כפי שהיינו רגילים לראות, אנו מדברים על יוזמה מפתה ומעניינת עבור משתמשים מתקדמים רבים המסוגלים לזהות סוג זה של בעיות שכן, במקביל הם מקבלים בדרך כלל תגמול כלכלי מאוד מעניין שגורם להם להמשיך לעבוד על ממצאים מסוג זה, יכולה החברה לשפר משמעותית את האבטחה של השירותים שלך, במיוחד אלה המשפיעים על נתונים פרטיים מסוימים של לקוחותיה, כגון המידע האישי שלהם, תמונות, סרטונים או רשומות טיסה.
DJI מאיים על משתמש שביקש את תגמולו לאחר שמצא פגם אבטחה בשרתים שלו
בשלב זה אני רוצה לדבר איתך על המקרה של קווין פיניסטר, מהנדס תוכנה שהצליח לאתר פגם אבטחה בשרתי DJI שאיפשר לו גישה למידע לקוחות פרטיים. הבעיה הייתה שהחברה שחררה בשוגג את מפתח פרטי של אישור SSL בו השתמשו ומפתח AES משמש לחתימת האותנטיות של עדכוני הקושחה של מזל"טים שלך.
קווין פיניסטר, שהבין את השגיאה הזו, החליט לכתוב ל- DJI ולשאול אם השרתים שלהם נמצאים בתוך היקף תוכנית התגמול בעת זיהוי כשלים שעליהם ה- DJI עצמו השיב עם Si. עם תשובה זו החל לחקור וגילה זאת המפתח הפרטי של האישור הדיגיטלי שלך היה במאגר Github במשך יותר מארבע שנים וכי חלק מחשבונותיך בשירות האינטרנט של אמזון סומנו כציבוריים כך שלכל משתמש תהיה גישה לאלפי קבצים, חשבוניות, תמונות של אנשים ...
עם חקירה זו החל קווין פיניסטר לאסוף מידע ולהביא מאות דוחות, אחד חקירה שהביאה בסופו של דבר לכ -130 מיילים ל- DJI המפרט את בעיות האבטחה שמצאה בשרתיה. התגובה של DJI הייתה להצביע על כך שהשרתים כבר לא נמצאים בתוכנית השפע. אף על פי שזמן קצר לאחר מכן הוא קיבל אימייל המציין שהוא השיג את התפקיד הגבוה ביותר מבחינת תגמולים, מה שהוביל אותו לזכייה דולר ארה"ב 30.000.
זמן קצר לאחר מכן הוא קיבל אימייל עם חוזה שחייב אותו לא לדון בפרטי העבודה שביצעת בפומבי תוך שהוא מכריח אותו אומרים שהם לא עשו שום עבודת אבטחה עבור DJI בכל רגע. זמן קצר לאחר מכן היה המחלקה המשפטית של DJI זה שפנה אליו בכדי לאלץ אותו להשמיד את כל המידע והנתונים שהתגלו במהלך החקירה אם הוא לא רוצה להתמודד עם אישומים משפטיים.