Como já acontece em muitas empresas internacionais, estamos falando, por exemplo, de empresas como Microsoft, Amazon, Google, Facebook ..., DJI decidiu lançar uma plataforma através da qual, de forma muito simples, qualquer pessoa externa à empresa que detecte um problema ou falha que possa afetar a segurança de qualquer consumidor de seus produtos, possa denuncie e receba uma recompensa em troca.
Como estamos habituados a ver, estamos a falar de uma iniciativa muito tentadora e interessante para muitos utilizadores avançados, capazes de detectar este tipo de problema, visto que, ao mesmo tempo, normalmente recebem um recompensa econômica muito interessante que os faz continuar trabalhando neste tipo de descobertas, a empresa pode melhorar significativamente a segurança dos seus serviços, especialmente aqueles que afetam determinados dados privados de seus clientes, como suas informações pessoais, fotos, vídeos ou registros de voos.
DJI ameaça um usuário que pediu sua recompensa após encontrar uma falha de segurança em seus servidores
Neste ponto, quero falar com você sobre o caso de Kevin Finisterra, um engenheiro de software que foi capaz de detectar uma falha de segurança nos servidores da DJI que lhe permitiu acessar informações privadas do cliente. O problema é que a empresa inadvertidamente fez o chave privada do certificado SSL que eles usaram e a chave AES usado para assinar a autenticidade das atualizações de firmware de seus drones.
Kevin Finisterre, percebendo esse erro, decidiu escrever para DJI e perguntar se seus servidores estão dentro do escopo do programa de recompensa ao identificar falhas às quais o próprio DJI respondeu com um Si. Com esta resposta, ele começou a investigar e descobriu que a chave privada do seu certificado digital estava em um repositório Github por mais de quatro anos e que algumas de suas contas no Amazon Web Service foram marcadas como públicas para que qualquer usuário pudesse ter acesso a milhares de arquivos, faturas, fotos de pessoas ...
Com esta investigação, Kevin Finisterre começou a reunir informações e fazer centenas de relatórios, um investigação que resultou em cerca de 130 e-mails para DJI detalhando os problemas de segurança encontrados em seus servidores. A resposta do DJI foi indicar que os servidores não estavam mais no programa de recompensas. embora, pouco depois, tenha recebido um e-mail informando que havia obtido a melhor posição em termos de recompensas, o que o levou a vencer EUA dollar 30.000.
Pouco tempo depois, ele recebeu um e-mail com um contrato que o obrigava a não discutindo detalhes do trabalho que você fez publicamente enquanto o forçava a dizem que não fizeram nenhum trabalho de segurança para DJI em nenhum momento. Pouco depois foi o Departamento jurídico DJI aquele que o contatou para forçá-lo a destruir todas as informações e dados descobertos durante a investigação, se ele não quisesse enfrentar processos judiciais.