多くの国際企業ですでにそうであるように、私たちは、例えば、マイクロソフト、アマゾン、グーグル、フェイスブックなどの企業について話している...、 DJI 非常に簡単な方法で、製品の消費者の安全に影響を与える可能性のある問題や障害を検出した社外の人ができるプラットフォームを立ち上げることを決定しました。 それを報告し、見返りに報酬を受け取る.
私たちが見慣れているように、私たちはこのタイプの問題を検出できる多くの上級ユーザーにとって非常に魅力的で興味深いイニシアチブについて話しているのです。 経済的報酬 彼らがこの種の調査結果に取り組み続けることを可能にする非常に興味深い、会社はすることができます サービスのセキュリティを大幅に向上させる特に、個人情報、写真、ビデオ、フライト記録など、クライアントの特定の個人データに影響を与えるもの。
DJIは、サーバーのセキュリティ上の欠陥を見つけた後、報酬を要求したユーザーを脅迫します
この時点で私はあなたにケースについて話したいと思います ケビン・フィニステレ、DJIのサーバーのセキュリティ上の欠陥を検出して顧客の個人情報にアクセスできるようにしたソフトウェアエンジニア。 問題は、会社がうっかりリリースしたことでした 使用したSSL証明書の秘密鍵とAES鍵 ドローンのファームウェアアップデートの信頼性に署名するために使用されます。
このエラーに気付いたKevinFinisterreは、DJIに書き込み、サーバーが 報酬プログラムの範囲 DJI自体が応答した障害を特定するとき Si。 この答えで彼は調査を始め、それを発見しました デジタル証明書の秘密鍵は、XNUMX年以上Githubリポジトリにありました その アマゾンウェブサービスの一部のアカウントがパブリックとしてマークされました そのため、どのユーザーも何千ものファイル、請求書、人々の写真にアクセスできます...
この調査により、Kevin Finisterreは情報を収集し、何百ものレポートを作成し始めました。 最終的にDJIに約130通のメールが届いた調査 サーバーで見つかったセキュリティの問題の詳細。 DJIの回答は、サーバーがバウンティプログラムに含まれなくなったことを示すことでした。 しかし、その直後に、彼は報酬の面で最高の地位を獲得したことを示す電子メールを受け取り、それが彼を勝ち取った。 ドル30.000.
しばらくして、彼は契約書が記載されたメールを受け取りました。 あなたが行った仕事の詳細について話し合っていない 彼に強制しながら公に 彼らはDJIのためにセキュリティ作業をしていなかったと言います いつでも。 その直後に DJI法務部門 法的な告発を受けたくない場合は、調査中に発見されたすべての情報とデータを破棄するように彼に連絡した人。