Som det allerede er tilfelle i mange internasjonale selskaper, snakker vi for eksempel om selskaper som Microsoft, Amazon, Google, Facebook ..., DJI besluttet å lansere en plattform der, på en veldig enkel måte, enhver person utenfor selskapet som oppdager et problem eller en feil som kan påvirke sikkerheten til enhver forbruker av produktene, rapporter det og motta en belønning i retur.
Som vi er vant til å se, snakker vi om et veldig fristende og interessant initiativ for mange avanserte brukere som er i stand til å oppdage denne typen problemer siden de samtidig mottar en økonomisk belønning veldig interessant som får dem til å fortsette å jobbe med denne typen funn, kan selskapet forbedre sikkerheten til tjenestene dine betydelig, spesielt de som påvirker visse private data fra klientene, for eksempel deres personlige informasjon, bilder, videoer eller flyoppføringer.
DJI truer en bruker som ba om belønning etter å ha funnet en sikkerhetsfeil på serverne sine
På dette punktet vil jeg snakke med deg om saken om Kevin Finisterre, en programvareingeniør som var i stand til å oppdage en sikkerhetsfeil på DJIs servere som tillot ham å få tilgang til privat kundeinformasjon. Problemet var at selskapet utilsiktet frigitt den private nøkkelen til SSL-sertifikatet de brukte og AES-nøkkelen brukes til å signere ektheten til firmwareoppdateringene til dronene dine.
Kevin Finisterre, som innså denne feilen, bestemte seg for å skrive til DJI og spørre om deres servere er innenfor omfanget av belønningsprogrammet når man identifiserer feil som DJI selv svarte med a Si. Med dette svaret begynte han å undersøke og oppdaget det den private nøkkelen til det digitale sertifikatet ditt var i et Github-arkiv i mer enn fire år og at noen av kontoene dine på Amazon Web Service ble merket som offentlige slik at enhver bruker kan ha tilgang til tusenvis av filer, fakturaer, bilder av mennesker ...
Med denne etterforskningen begynte Kevin Finisterre å samle informasjon og lage hundrevis av rapporter, en etterforskning som til slutt resulterte i rundt 130 e-poster til DJI som beskriver sikkerhetsproblemene den hadde funnet på serverne sine. DJIs svar var å indikere at serverne ikke lenger var i bounty-programmet. kort tid etter mottok han en e-post om at han hadde oppnådd den høyeste posisjonen når det gjelder belønninger, noe som førte til at han vant Amerikanske dollar 30.000.
Kort tid senere mottok han en e-post med en kontrakt som krevde at han måtte gjøre det ikke diskutere detaljer om arbeidet du hadde gjort offentlig mens han tvinger ham til si at de ikke hadde gjort noe sikkerhetsarbeid for DJI når som helst. Kort tid etter var DJI juridisk avdeling den som kontaktet ham for å tvinge ham til å ødelegge all informasjon og data som ble oppdaget under etterforskningen hvis han ikke ønsket å bli anklaget.