Jak już ma to miejsce w wielu międzynarodowych firmach, mówimy np. O firmach takich jak Microsoft, Amazon, Google, Facebook ..., DJI postanowił uruchomić platformę, dzięki której w bardzo prosty sposób każda osoba spoza firmy, która wykryje problem lub awarię mogącą wpłynąć na bezpieczeństwo każdego konsumenta jej produktów, może zgłoś to i otrzymaj w zamian nagrodę.
Jak się przyzwyczailiśmy, mówimy o bardzo kuszącej i interesującej inicjatywie dla wielu zaawansowanych użytkowników, zdolnych do wykrycia tego typu problemu, ponieważ w tym samym czasie zwykle otrzymują nagroda ekonomiczna bardzo ciekawe, co sprawia, że nadal pracują nad tego typu ustaleniami, firma może znacząco poprawi bezpieczeństwo Twoich usług, zwłaszcza te, które mają wpływ na niektóre prywatne dane klientów, takie jak dane osobowe, zdjęcia, filmy lub zapisy lotów.
DJI grozi użytkownikowi, który poprosił o nagrodę po znalezieniu luki w zabezpieczeniach swoich serwerów
W tym miejscu chciałbym porozmawiać o sprawie Kevina Finisterre'a, inżynier oprogramowania, który był w stanie wykryć lukę w zabezpieczeniach serwerów DJI, która umożliwiła mu dostęp do prywatnych informacji o klientach. Problem polegał na tym, że firma nieumyślnie stworzyła plik klucz prywatny używanego certyfikatu SSL i klucz AES używany do podpisywania autentyczności aktualizacji oprogramowania sprzętowego dronów.
Kevin Finisterre, zdając sobie sprawę z tego błędu, postanowił napisać do DJI i zapytać, czy ich serwery znajdują się w zakres programu nagród identyfikując awarie, na które sam DJI odpowiedział a Si. Tą odpowiedzią zaczął to badać i odkryć klucz prywatny Twojego certyfikatu cyfrowego znajdował się w repozytorium Github przez ponad cztery lata i niektóre z Twoich kont w Amazon Web Service zostały oznaczone jako publiczne aby każdy użytkownik miał dostęp do tysięcy plików, faktur, zdjęć osób ...
Dzięki temu śledztwu Kevin Finisterre zaczął zbierać informacje i sporządzać setki raportów, jeden dochodzenie, które ostatecznie doprowadziło do wysłania około 130 e-maili do DJI wyszczególniając problemy bezpieczeństwa, które wykrył na swoich serwerach. Odpowiedzią DJI było wskazanie, że serwery nie były już objęte programem bounty. chociaż wkrótce potem otrzymał e-mail z informacją, że uzyskał najwyższą pozycję pod względem nagród, co doprowadziło go do wygranej Dolarów 30.000.
Niedługo później otrzymał e-mail z wymaganą przez niego umową nie omawianie szczegółów wykonanej pracy publicznie, zmuszając go do tego mówią, że nie wykonali żadnych prac związanych z bezpieczeństwem dla DJI w dowolnym momencie. Wkrótce potem był Dział prawny DJI ten, który skontaktował się z nim, aby zmusić go do zniszczenia wszystkich informacji i danych odkrytych podczas śledztwa, jeśli nie chciałby postawić mu zarzutów prawnych.