Как это уже происходит во многих международных компаниях, мы говорим, например, о таких компаниях, как Microsoft, Amazon, Google, Facebook ..., DJI решили запустить платформу, с помощью которой очень простым способом любое лицо, не связанное с компанией, обнаружившее проблему или сбой, которые могут повлиять на безопасность любого потребителя ее продукции, могло сообщите об этом и получите взамен вознаграждение.
Как мы привыкли видеть, мы говорим об очень заманчивой и интересной инициативе для многих продвинутых пользователей, способных обнаружить этот тип проблемы, поскольку в то же время они обычно получают экономическое вознаграждение очень интересно, что заставляет их продолжать работу над такими выводами, компания может значительно повысить безопасность ваших услуг, особенно те, которые влияют на определенные личные данные клиентов, такие как их личная информация, фотографии, видео или отчеты о рейсах.
DJI угрожает пользователю, который попросил вознаграждение, обнаружив брешь в безопасности на своих серверах.
Здесь я хочу поговорить с вами о случае Кевин Финистерре, инженер-программист, который смог обнаружить брешь в безопасности на серверах DJI, которая позволила ему получить доступ к частной информации о клиентах. Проблема заключалась в том, что компания непреднамеренно сделала закрытый ключ SSL-сертификата, который они использовали, и ключ AES используется для подтверждения подлинности обновлений прошивки ваших дронов.
Кевин Финистерре, осознав эту ошибку, решил написать в DJI и спросить, находятся ли их серверы в пределах объем программы вознаграждений при выявлении сбоев, на которые сам DJI ответил Si. С этим ответом он начал расследование и обнаружил, что закрытый ключ вашего цифрового сертификата находился в репозитории Github более четырех лет y que некоторые из ваших учетных записей в Amazon Web Service были отмечены как общедоступные так что любой пользователь может иметь доступ к тысячам файлов, счетов, фотографий людей ...
В ходе этого расследования Кевин Финистерре начал собирать информацию и составлять сотни отчетов, один расследование, в результате которого было отправлено около 130 писем в адрес DJI. с подробным описанием проблем безопасности, обнаруженных на своих серверах. В ответ DJI указали, что серверы больше не участвуют в программе вознаграждений. хотя вскоре после этого он получил электронное письмо, в котором говорилось, что он получил самую высокую позицию с точки зрения вознаграждений, что привело его к победе. Доллар США 30.000.
Вскоре после этого он получил электронное письмо с контрактом, который требовал от него не обсуждать детали проделанной вами работы публично, заставляя его говорят, что они не выполняли никаких работ по обеспечению безопасности для DJI в любой момент. Вскоре после этого был Юридический отдел DJI тот, кто связался с ним, чтобы заставить его уничтожить всю информацию и данные, обнаруженные в ходе расследования, если он не желает предстать перед судом.