Zoals bij veel internationale bedrijven al het geval is, hebben we het bijvoorbeeld over bedrijven als Microsoft, Amazon, Google, Facebook ..., DJI besloten om een platform te lanceren waarmee, op een zeer eenvoudige manier, elke persoon buiten het bedrijf die een probleem of storing detecteert die de veiligheid van elke consument van zijn producten kan beïnvloeden, meld het en ontvang in ruil daarvoor een beloning.
Zoals we gewend zijn te zien, hebben we het over een zeer verleidelijk en interessant initiatief voor veel gevorderde gebruikers die in staat zijn om dit soort problemen op te sporen, aangezien ze normaal gesproken een economische beloning heel interessant waardoor ze aan dit soort bevindingen blijven werken, kan het bedrijf de beveiliging van uw diensten aanzienlijk verbeteren, vooral die welke bepaalde privégegevens van haar klanten beïnvloeden, zoals hun persoonlijke informatie, foto's, video's of vluchtgegevens.
DJI bedreigt een gebruiker die om zijn beloning heeft gevraagd nadat hij een beveiligingsfout in zijn servers had ontdekt
Op dit punt wil ik met je praten over de zaak van Kevin Finisterre, een software-engineer die een beveiligingsfout in de servers van DJI kon detecteren waardoor hij toegang had tot persoonlijke klantinformatie. Het probleem was dat het bedrijf per ongeluk het privésleutel van het SSL-certificaat dat ze hebben gebruikt en de AES-sleutel gebruikt om de authenticiteit van de firmware-updates van uw drones te ondertekenen.
Kevin Finisterre, die deze fout realiseerde, besloot DJI te schrijven en te vragen of hun servers zich binnen het reikwijdte van het beloningsprogramma bij het identificeren van storingen waarop de DJI zelf antwoordde met een Si. Met dit antwoord begon hij te onderzoeken en ontdekte dat de privésleutel van uw digitale certificaat bevond zich meer dan vier jaar in een Github-repository en sommige van uw accounts op Amazon Web Service zijn gemarkeerd als openbaar zodat elke gebruiker toegang heeft tot duizenden bestanden, facturen, foto's van mensen ...
Met dit onderzoek begon Kevin Finisterre informatie te verzamelen en honderden rapporten op te stellen, één onderzoek dat uiteindelijk resulteerde in ongeveer 130 e-mails aan DJI met details over de beveiligingsproblemen die het op zijn servers had aangetroffen. De reactie van DJI was om aan te geven dat de servers niet langer in het bounty-programma zaten. hoewel hij kort daarna een e-mail ontving waarin stond dat hij de hoogste positie had behaald in termen van beloningen, waardoor hij won Dollar 30.000.
Korte tijd later ontving hij een e-mail met een contract dat hem verplicht was geen details bespreken van het werk dat u had gedaan publiekelijk terwijl hij hem daartoe dwong zeggen dat ze geen enkel beveiligingswerk voor DJI hadden gedaan op elk moment. Kort daarna was de DJI juridische afdeling degene die contact met hem opnam om hem te dwingen alle informatie en gegevens die tijdens het onderzoek zijn ontdekt, te vernietigen als hij geen juridische aanklacht wilde indienen.