Siç është tashmë rasti në shumë kompani ndërkombëtare, ne po flasim, për shembull, të kompanive të tilla si Microsoft, Amazon, Google, Facebook ..., DJI vendosi të nisë një platformë përmes së cilës, në një mënyrë shumë të thjeshtë, çdo person i jashtëm i kompanisë që zbulon një problem ose dështim që mund të ndikojë në sigurinë e çdo konsumatori të produkteve të saj, mund të raportojeni atë dhe merrni një shpërblim në këmbim.
Siç jemi mësuar ta shohim, ne po flasim për një iniciativë shumë joshëse dhe interesante për shumë përdorues të përparuar të aftë për të zbuluar këtë lloj problemi pasi, në të njëjtën kohë ata normalisht marrin një shpërblim ekonomik shumë interesante që i bën ata të vazhdojnë të punojnë në këtë lloj zbulimi, kompania mundet përmirësoni ndjeshëm sigurinë e shërbimeve tuaja, veçanërisht ato që prekin të dhëna të caktuara private të klientëve të saj si informacioni personal i tyre, fotot, videot ose regjistrat e fluturimit.
DJI kërcënon një përdorues i cili kërkoi shpërblimin e tij pasi gjeti një defekt sigurie në serverat e tij
Në këtë pikë dua të flas me ju për rastin e Kevin Finisterre, një inxhinier softuer i cili ishte në gjendje të zbulonte një të metë sigurie në serverat e DJI që i lejuan atij të hynte në informacionin e klientit privat. Problemi ishte se kompania pa dashje bëri çelësi privat i certifikatës SSL që ata përdorën dhe çelësi AES përdoret për të nënshkruar vërtetësinë e azhurnimeve të firmuerit të dronëve tuaj.
Kevin Finisterre, duke kuptuar këtë gabim, vendosi t'i shkruajë DJI dhe të pyesë nëse serverat e tyre janë brenda fushëveprimi i programit të shpërblimit kur identifikon dështimet të cilave vetë DJI iu përgjigj me a Si. Me këtë përgjigje ai filloi të hetojë dhe zbuloi se çelësi privat i certifikatës tuaj dixhitale ishte në një depo Github për më shumë se katër vjet dhe kjo disa nga llogaritë tuaja në Shërbimin Web të Amazon u shënuan si publike kështu që çdo përdorues mund të ketë qasje në mijëra skedarë, fatura, fotografi të njerëzve ...
Me këtë hetim, Kevin Finisterre filloi të mblidhte informacion dhe të bënte qindra raporte, një hetim që përfundimisht rezultoi në rreth 130 email tek DJI duke detajuar problemet e sigurisë që kishte gjetur në serverat e saj. Përgjigja e DJI ishte të tregonte se serverat nuk ishin më në programin e mirat. megjithëse, pak më vonë, ai mori një email që tregon se ai kishte marrë pozicionin më të lartë për sa i përket shpërblimeve, gjë që e çoi atë të fitonte Dollarit amerikan 30.000.
Pas pak, ai mori një email me një kontratë që e kërkonte atë duke mos diskutuar detaje të punës që keni bërë publikisht duke e detyruar atë të thonë se ata nuk kishin bërë ndonjë punë sigurie për DJI në çdo moment. Pas pak ishte Departamenti juridik i DJI ai që e kontaktoi atë për ta detyruar të shkatërronte të gjitha informacionet dhe të dhënat e zbuluara gjatë hetimit nëse nuk dëshironte të përballej me akuza ligjore.