Som redan är fallet i många internationella företag talar vi till exempel om företag som Microsoft, Amazon, Google, Facebook..., DJI beslutat att lansera en plattform genom vilken, på ett mycket enkelt sätt, alla personer utanför företaget som upptäckt ett problem eller fel som kan påverka säkerheten för någon konsument av dess produkter, kunde rapportera det och få en belöning i gengäld.
Som vi är vana vid att se talar vi om ett mycket frestande och intressant initiativ för många avancerade användare som kan upptäcka denna typ av problem eftersom de, medan de normalt får en finansiell belöning mycket intressant som gör att de fortsätter att arbeta med den här typen av fynd, det kan företaget förbättra säkerheten för dina tjänster avsevärt, särskilt de som påverkar vissa privata uppgifter om sina kunder, såsom deras personliga information, foton, videor eller flygregister.
DJI hotar en användare som bad om hans belöning efter att ha hittat ett säkerhetsfel på sina servrar
Vid det här laget vill jag prata med dig om fallet Kevin Finisterre, en mjukvaruingenjör som kunde upptäcka ett säkerhetsfel i DJI:s servrar som gjorde det möjligt för honom att komma åt privat kundinformation. Problemet var att företaget oavsiktligt offentliggjorde privat nyckel för SSL-certifikatet de använde och AES-nyckeln används för att signera äktheten av firmwareuppdateringar till dina drönare.
Kevin Finisterre, som insåg detta fel, bestämde sig för att skriva till DJI och fråga om deras servrar är inom belöningsprogrammets omfattning vid identifiering av misslyckanden som DJI själv svarade med ett Si. Med detta svar började han undersöka och upptäckte det den privata nyckeln till ditt digitala certifikat fanns i ett Github-förråd i mer än fyra år och att några av dina konton på Amazon Web Service markerades som offentliga så att alla användare kan ha tillgång till tusentals filer, fakturor, foton av människor...
Med denna utredning började Kevin Finisterre samla in information och göra hundratals rapporter, en utredning som slutligen slutade med cirka 130 mejl till DJI detaljerade säkerhetsproblem som den hade hittat på sina servrar. DJI:s svar var att indikera att servrarna inte längre fanns med i belöningsprogrammet även om han kort efter fick ett e-postmeddelande som visade att han hade fått den högsta positionen när det gäller belöningar, vilket ledde till att han tjänade US-dollar 30.000.
En kort tid senare fick han ett mejl med ett kontrakt som tvingade honom till det inte diskutera detaljer om det arbete han hade utfört offentligt samtidigt som han tvingades till det säga att han inte hade gjort något slags säkerhetsarbete för DJI när som helst. Strax efter att han var DJI juridiska avdelning den som kontaktade honom för att tvinga honom att förstöra all information och data som upptäckts under utredningen om han inte ville åtalas.