Kā tas jau notiek daudzos starptautiskos uzņēmumos, mēs runājam, piemēram, par tādiem uzņēmumiem kā Microsoft, Amazon, Google, Facebook ..., DJI nolēma sākt platformu, caur kuru ļoti vienkāršā veidā jebkura persona, kas nav uzņēmuma īpašniece un atklāj problēmu vai kļūmi, kas var ietekmēt jebkura tā produktu patērētāja drošību, varētu ziņo par to un pretī saņem atlīdzību.
Kā mēs esam pieraduši redzēt, mēs runājam par ļoti vilinošu un interesantu iniciatīvu daudziem pieredzējušiem lietotājiem, kuri spēj atklāt šāda veida problēmas, jo tajā pašā laikā viņi parasti saņem ekonomiskā atlīdzība ļoti interesanti, kas liek viņiem turpināt strādāt pie šāda veida atklājumiem, uzņēmums var ievērojami uzlabot savu pakalpojumu drošību, īpaši tos, kas ietekmē noteiktus klienta privātos datus, piemēram, viņu personisko informāciju, fotoattēlus, videoklipus vai lidojuma ierakstus.
DJI draud lietotājam, kurš lūdza atlīdzību pēc tam, kad savos serveros ir atradis drošības trūkumu
Šajā brīdī es vēlos ar jums parunāt par Kevins Finisterre, programmatūras inženieris, kurš spēja atklāt drošības trūkumu DJI serveros, kas ļāva viņam piekļūt privātajai klientu informācijai. Problēma bija tā, ka uzņēmums netīši atbrīvoja izmantotā SSL sertifikāta privātā atslēga un AES atslēga izmanto, lai parakstītu jūsu dronu programmaparatūras atjauninājumu autentiskumu.
Kevins Finisterre, saprotot šo kļūdu, nolēma rakstīt DJI un pajautāt, vai viņu serveri atrodas atlīdzības programmas darbības joma identificējot neveiksmes, uz kurām pati DJI atbildēja ar a Si. Ar šo atbildi viņš sāka to izmeklēt un atklāja jūsu digitālā sertifikāta privātā atslēga vairāk nekā četrus gadus atradās Github krātuvē un ka daži no jūsu Amazon Web Service kontiem tika atzīmēti kā publiski lai jebkurš lietotājs varētu piekļūt tūkstošiem failu, rēķinu, cilvēku fotoattēlu ...
Ar šo izmeklēšanu Kevins Finisterre sāka vākt informāciju un veidot simtiem ziņojumu, vienu izmeklēšanas rezultātā galu galā tika saņemti aptuveni 130 e-pasta ziņojumi DJI detalizēti izklāstot drošības problēmas, kuras tā atradusi savos serveros. DJI atbilde bija norādīt, ka serveri vairs nav veltes programmā. kaut arī neilgi pēc tam viņš saņēma e-pastu, kurā norādīts, ka viņš ir ieguvis augstāko pozīciju atlīdzības ziņā, kas lika viņam uzvarēt ASV dolāra 30.000.
Pēc neilga laika viņš saņēma e-pastu ar līgumu, kas viņam prasīja neapspriežot sīkāk par jūsu paveikto darbu publiski, vienlaikus piespiežot viņu viņi saka, ka viņi nav veikuši nekādu drošības darbu DJI jebkurā brīdī. Neilgi pēc tam bija DJI juridiskā nodaļa tas, kurš ar viņu sazinājās, lai piespiestu viņu iznīcināt visu izmeklēšanas laikā atklāto informāciju un datus, ja viņš nevēlējās izvirzīt juridiskas apsūdzības.