Kaip jau yra daugelyje tarptautinių kompanijų, mes kalbame, pavyzdžiui, apie tokias įmones kaip „Microsoft“, „Amazon“, „Google“, „Facebook“, DJI nusprendė paleisti platformą, per kurią labai paprastas būdas bet kuriam įmonės nepriklausančiam asmeniui, aptikusiam problemą ar gedimą, galintį paveikti bet kurio jos gaminio vartotojo saugumą, galėtų pranešti apie tai ir gauti atlygį mainais.
Kaip įpratome matyti, kalbame apie labai viliojančią ir įdomią iniciatyvą daugeliui pažengusių vartotojų, galinčių aptikti tokio tipo problemas, nes tuo pačiu metu jie paprastai gauna ekonominis atlygis labai įdomu, dėl ko jie gali toliau dirbti su tokio tipo išvadomis, bendrovė gali žymiai pagerinti savo paslaugų saugumą, ypač tuos, kurie turi įtakos tam tikriems privačiams klientų duomenims, pvz., jų asmeninei informacijai, nuotraukoms, vaizdo įrašams ar skrydžių įrašams.
„DJI“ grasina vartotojui, kuris paprašė atlygio, radęs saugos trūkumą savo serveriuose
Šiuo metu noriu pasikalbėti su jumis apie Kevinas Finisterre'as, programinės įrangos inžinierius, kuris sugebėjo aptikti DJI serverių saugos trūkumą, kuris leido jam pasiekti privačią klientų informaciją. Problema buvo ta, kad bendrovė netyčia išleido asmeninį SSL sertifikato, kurį jie naudojo, raktą ir AES raktą naudojamas pasirašyti jūsų dronų programinės įrangos atnaujinimų autentiškumui.
Kevinas Finisterre'as, suprasdamas šią klaidą, nusprendė parašyti DJI ir paklausti, ar jų serveriai yra atlygio programos taikymo sritis nustatant gedimus, į kuriuos pats DJI atsakė a Si. Šiuo atsakymu jis pradėjo tyrinėti ir atrado tai privatus jūsų skaitmeninio sertifikato raktas daugiau nei ketverius metus buvo „Github“ saugykloje ir kad kai kurios jūsų „Amazon Web Service“ paskyros buvo pažymėtos kaip viešos kad bet kuris vartotojas galėtų pasiekti tūkstančius failų, sąskaitų faktūrų, žmonių nuotraukų ...
Atlikęs šį tyrimą, Kevinas Finisterre'as pradėjo rinkti informaciją ir rengti šimtus ataskaitų, vieną tyrimas, kurio rezultatas buvo apie 130 el. laiškų DJI išsamiai aprašant saugumo problemas, kurias jis rado savo serveriuose. DJI atsakymas parodė, kad serverių nebėra „Bounty“ programoje. nors netrukus po to jis gavo el. laišką, kuriame nurodė, kad jis gavo aukščiausią atlygio poziciją, dėl kurios jis laimėjo JAV doleris 30.000.
Neilgai trukus jis gavo el. Laišką su sutartimi, kuri jam reikalinga neaptarinėdami jūsų atlikto darbo detalių viešai verčiant jį sako, kad jie neatliko jokio DJI saugumo darbo bet kurią akimirką. Netrukus po to buvo DJI teisinis skyrius tas, kuris kreipėsi į jį, norėdamas priversti sunaikinti visą tyrimo metu rastą informaciją ir duomenis, jei jis nenorėjo kelti teisinių kaltinimų.