이미 많은 다국적 기업에서 그렇듯이 우리는 예를 들어 Microsoft, Amazon, Google, Facebook과 같은 회사에 대해 이야기하고 있습니다. DJI 제품 소비자의 안전에 영향을 미칠 수있는 문제 나 실패를 감지하는 회사 외부의 모든 사람이 매우 간단한 방법으로 플랫폼을 출시하기로 결정했습니다. 신고하고 대가로 보상 받기.
우리가 익숙한 것처럼 우리는 이러한 유형의 문제를 감지 할 수있는 많은 고급 사용자를위한 매우 유혹적이고 흥미로운 이니셔티브에 대해 이야기하고 있습니다. 경제적 보상 이러한 유형의 결과에 대해 계속 작업하게하는 매우 흥미 롭습니다. 회사는 서비스 보안을 크게 향상, 특히 개인 정보, 사진, 비디오 또는 비행 기록과 같은 고객의 특정 개인 데이터에 영향을 미치는 데이터.
DJI는 서버에서 보안 결함을 발견 한 후 보상을 요청한 사용자를 위협합니다.
이 시점에서 저는 다음의 경우에 대해 이야기하고 싶습니다. 케빈 피 니스 테레, DJI 서버에서 개인 고객 정보에 액세스 할 수있는 보안 결함을 감지 할 수 있었던 소프트웨어 엔지니어. 문제는 회사가 실수로 그들이 사용한 SSL 인증서의 개인 키와 AES 키 드론의 펌웨어 업데이트 진위에 서명하는 데 사용됩니다.
이 오류를 깨달은 Kevin Finisterre는 DJI에 쓰기로 결정하고 서버가 보상 프로그램의 범위 DJI 자체가 A로 응답 한 실패를 식별 할 때 Si. 이 답변으로 그는 조사를 시작했고 디지털 인증서의 개인 키가 XNUMX 년 이상 Github 저장소에있었습니다. 그 Amazon Web Service의 일부 계정이 공개로 표시되었습니다. 모든 사용자가 수천 개의 파일, 송장, 사람 사진에 액세스 할 수 있습니다.
이 조사를 통해 Kevin Finisterre는 정보를 수집하고 수백 건의 보고서를 작성하기 시작했습니다. 결과적으로 DJI에 약 130 개의 이메일이 발송 된 조사 서버에서 발견 한 보안 문제를 자세히 설명합니다. DJI의 응답은 서버가 더 이상 현상금 프로그램에 포함되지 않음을 나타내는 것이 었습니다. 얼마 지나지 않아 그는 보상 측면에서 가장 높은 위치를 차지했음을 알리는 이메일을 받았으며 이로 인해 우승했습니다. 달러 30.000.
얼마 지나지 않아 그는 계약서가 담긴 이메일을 받았습니다. 당신이 한 일의 세부 사항을 논의하지 공개적으로 그를 강요하면서 DJI에 대한 보안 작업을 수행하지 않았다고 말합니다. 언제든지. 얼마 지나지 않아 DJI 법률 부서 법적 고발을 원하지 않는 경우 조사 중에 발견 된 모든 정보와 데이터를 파기하도록 그에게 연락 한 사람.