La fel ca în multe companii internaționale, vorbim, de exemplu, de companii precum Microsoft, Amazon, Google, Facebook ... DJI a decis să lanseze o platformă prin care, într-un mod foarte simplu, orice persoană externă companiei care detectează o problemă sau eșec care ar putea afecta siguranța oricărui consumator al produselor sale, ar putea raportează-l și primește o recompensă în schimb.
După cum suntem obișnuiți să vedem, vorbim despre o inițiativă foarte tentantă și interesantă pentru mulți utilizatori avansați capabili să detecteze acest tip de problemă, deoarece, în același timp, primesc în mod normal o recompensă economică foarte interesant care îi face să continue să lucreze la acest tip de descoperiri, compania poate îmbunătăți semnificativ securitatea serviciilor tale, în special cele care afectează anumite date private ale clienților săi, precum informații personale, fotografii, videoclipuri sau înregistrări de zbor.
DJI amenință un utilizator care și-a cerut recompensa după ce a găsit o eroare de securitate în serverele sale
În acest moment vreau să vă vorbesc despre cazul Kevin Finisterre, un inginer de software care a reușit să detecteze o eroare de securitate în serverele DJI care i-a permis să acceseze informații despre clienți privați. Problema a fost că compania a eliberat din greșeală cheia privată a certificatului SSL pe care l-au folosit și cheia AES folosit pentru a semna autenticitatea actualizărilor de firmware ale dronelor dvs.
Kevin Finisterre, realizând această eroare, a decis să scrie la DJI și să întrebe dacă serverele lor se află în sfera de aplicare a programului de recompensă la identificarea eșecurilor la care DJI însuși a răspuns cu un Si. Cu acest răspuns a început să investigheze și a descoperit că cheia privată a certificatului dvs. digital a fost într-un depozit Github mai mult de patru ani și că unele dintre conturile dvs. din Amazon Web Service au fost marcate ca publice deci orice utilizator ar putea avea acces la mii de fișiere, facturi, fotografii ale oamenilor ...
Cu această investigație, Kevin Finisterre a început să adune informații și să facă sute de rapoarte, unul anchetă care a dus în cele din urmă la aproximativ 130 de e-mailuri către DJI detaliind problemele de securitate pe care le găsise pe serverele sale. Răspunsul DJI a fost să indice că serverele nu mai erau în programul de recompense. deși, la scurt timp după aceea, a primit un e-mail care indica faptul că a obținut cea mai înaltă poziție în ceea ce privește recompensele, ceea ce l-a determinat să câștige Dolari 30.000.
La scurt timp, a primit un e-mail cu un contract care îi impunea fără a discuta detalii despre munca pe care ați făcut-o public în timp ce îl obliga să spun că nu au făcut nicio muncă de securitate pentru DJI în orice moment. La scurt timp a fost Departamentul juridic DJI cel care l-a contactat pentru a-l obliga să distrugă toate informațiile și datele descoperite în timpul anchetei dacă nu dorea să se confrunte cu acuzații legale.