DJI คุกคามผู้ใช้ที่รายงานการละเมิดความปลอดภัยบนเซิร์ฟเวอร์ของตน

ดังเช่นใน บริษัท ต่างประเทศหลายแห่งที่เรากำลังพูดถึงตัวอย่างเช่น บริษัท ต่างๆเช่น Microsoft, Amazon, Google, Facebook ... , DJI ตัดสินใจที่จะเปิดตัวแพลตฟอร์มซึ่งในทางที่ง่ายมากบุคคลภายนอก บริษัท ที่ตรวจพบปัญหาหรือความล้มเหลวที่อาจส่งผลกระทบต่อความปลอดภัยของผู้บริโภคผลิตภัณฑ์ของตนสามารถทำได้ รายงานและรับรางวัลตอบแทน.

อย่างที่เราคุ้นเคยกันเรากำลังพูดถึงการริเริ่มที่น่าดึงดูดและน่าสนใจสำหรับผู้ใช้ขั้นสูงจำนวนมากที่สามารถตรวจพบปัญหาประเภทนี้ได้ในขณะเดียวกันพวกเขาก็จะได้รับ รางวัลทางเศรษฐกิจ น่าสนใจมากที่ทำให้พวกเขาทำงานต่อในการค้นพบประเภทนี้ บริษัท สามารถทำได้ ปรับปรุงความปลอดภัยของบริการของคุณอย่างมากโดยเฉพาะอย่างยิ่งข้อมูลที่ส่งผลกระทบต่อข้อมูลส่วนตัวของลูกค้าเช่นข้อมูลส่วนบุคคลภาพถ่ายวิดีโอหรือบันทึกการบิน

DJI คุกคามผู้ใช้ที่ขอรางวัลหลังจากพบข้อบกพร่องด้านความปลอดภัยในเซิร์ฟเวอร์ของเขา

ณ จุดนี้ฉันต้องการพูดคุยกับคุณเกี่ยวกับกรณีของ เควิน ฟินิสแตร์เรวิศวกรซอฟต์แวร์ที่สามารถตรวจพบข้อบกพร่องด้านความปลอดภัยในเซิร์ฟเวอร์ของ DJI ซึ่งทำให้เขาสามารถเข้าถึงข้อมูลส่วนตัวของลูกค้าได้ ปัญหาคือ บริษัท ปล่อยไฟล์ คีย์ส่วนตัวของใบรับรอง SSL ที่ใช้และคีย์ AES ใช้เพื่อลงนามรับรองความถูกต้องของการอัปเดตเฟิร์มแวร์ของโดรนของคุณ

Kevin Finisterre ตระหนักถึงข้อผิดพลาดนี้จึงตัดสินใจเขียนถึง DJI และถามว่าเซิร์ฟเวอร์ของพวกเขาอยู่ภายในไฟล์ ขอบเขตของโปรแกรมรางวัล เมื่อระบุความล้มเหลวที่ DJI เองตอบกลับด้วย Si. ด้วยคำตอบนี้เขาจึงเริ่มตรวจสอบและค้นพบสิ่งนั้น คีย์ส่วนตัวของใบรับรองดิจิทัลของคุณอยู่ในที่เก็บ Github มานานกว่าสี่ปี และที่ บัญชีบางส่วนของคุณใน Amazon Web Service ถูกทำเครื่องหมายเป็นสาธารณะ ดังนั้นผู้ใช้ทุกคนสามารถเข้าถึงไฟล์ใบแจ้งหนี้ภาพถ่ายของผู้คนนับพัน ...

จากการสืบสวนครั้งนี้ Kevin Finisterre เริ่มรวบรวมข้อมูลและจัดทำรายงานหลายร้อยฉบับ การตรวจสอบซึ่งในที่สุดส่งผลให้มีอีเมลประมาณ 130 ฉบับถึง DJI รายละเอียดปัญหาด้านความปลอดภัยที่พบบนเซิร์ฟเวอร์ การตอบสนองของ DJI คือการระบุว่าเซิร์ฟเวอร์ไม่ได้อยู่ในโปรแกรมเงินรางวัลอีกต่อไป แม้ว่าหลังจากนั้นไม่นานเขาก็ได้รับอีเมลที่ระบุว่าเขาได้รับตำแหน่งสูงสุดในแง่ของรางวัลซึ่งทำให้เขาชนะ 30.000 ดอลลาร์สหรัฐ.

หลังจากนั้นไม่นานเขาได้รับอีเมลพร้อมสัญญาที่กำหนดให้เขาทำ ไม่พูดคุยรายละเอียดของงานที่คุณทำ ต่อสาธารณะในขณะที่บังคับให้เขาทำ บอกว่าพวกเขาไม่ได้ทำงานด้านความปลอดภัยใด ๆ ให้กับ DJI ในช่วงเวลาใด หลังจากนั้นไม่นานคือ ฝ่ายกฎหมาย DJI ผู้ที่ติดต่อเขาเพื่อบังคับให้เขาทำลายข้อมูลและข้อมูลทั้งหมดที่ค้นพบในระหว่างการสอบสวนหากเขาไม่ต้องการเผชิญกับข้อกล่าวหาทางกฎหมาย


เป็นคนแรกที่จะแสดงความคิดเห็น

แสดงความคิดเห็นของคุณ

อีเมล์ของคุณจะไม่ถูกเผยแพร่ ช่องที่ต้องการถูกทำเครื่องหมายด้วย *

*

*

  1. ผู้รับผิดชอบข้อมูล: Miguel ÁngelGatón
  2. วัตถุประสงค์ของข้อมูล: ควบคุมสแปมการจัดการความคิดเห็น
  3. ถูกต้องตามกฎหมาย: ความยินยอมของคุณ
  4. การสื่อสารข้อมูล: ข้อมูลจะไม่ถูกสื่อสารไปยังบุคคลที่สามยกเว้นตามข้อผูกพันทางกฎหมาย
  5. การจัดเก็บข้อมูล: ฐานข้อมูลที่โฮสต์โดย Occentus Networks (EU)
  6. สิทธิ์: คุณสามารถ จำกัด กู้คืนและลบข้อมูลของคุณได้ตลอดเวลา