Tulad ng nangyari sa maraming mga internasyonal na kumpanya, nagsasalita kami, halimbawa, ng mga kumpanya tulad ng Microsoft, Amazon, Google, Facebook ..., DJI nagpasya upang ilunsad ang isang platform kung saan, sa isang napaka-simpleng paraan, ang sinumang tao sa labas ng kumpanya na nakakita ng isang problema o kabiguan na maaaring makaapekto sa kaligtasan ng sinumang mamimili ng mga produkto nito, ay maaaring iulat ito at makatanggap ng gantimpala bilang kapalit.
Tulad ng nakasanayan naming makita, pinag-uusapan namin ang tungkol sa isang napaka-kaakit-akit at kagiliw-giliw na pagkukusa para sa maraming mga advanced na gumagamit na may kakayahang makita ang ganitong uri ng problema dahil, sa parehong oras na normal silang nakakatanggap ng gantimpala sa ekonomiya napaka-kagiliw-giliw na nagpapatuloy sa kanilang pagtatrabaho sa ganitong uri ng mga natuklasan, kaya ng kumpanya makabuluhang mapabuti ang seguridad ng iyong mga serbisyo, lalo na ang mga nakakaapekto sa ilang pribadong data ng mga kliyente nito tulad ng kanilang personal na impormasyon, larawan, video o tala ng flight.
Nagbabanta ang DJI sa isang gumagamit na humiling ng kanyang gantimpala matapos makahanap ng isang kapintasan sa seguridad sa kanyang mga server
Sa puntong ito nais kong kausapin tungkol sa kaso ng Kevin Finisterre, isang software engineer na nakakakita ng isang kapintasan sa seguridad sa mga server ng DJI na pinapayagan siyang mag-access ng pribadong impormasyon ng customer. Ang problema ay hindi sinasadyang inilabas ng kumpanya ang pribadong key ng SSL certificate na ginamit nila at ang AES key ginamit upang lagdaan ang pagiging tunay ng mga pag-update ng firmware ng iyong mga drone.
Si Kevin Finisterre, na napagtanto ang error na ito, ay nagpasyang sumulat sa DJI at tanungin kung nasa loob ng saklaw ng programa ng gantimpala kapag kinikilala ang mga pagkabigo na kung saan mismong ang DJI ay tumugon sa a Si. Sa sagot na ito sinimulan niyang siyasatin at tuklasin iyon ang pribadong susi ng iyong digital na sertipiko ay nasa isang imbakan ng Github ng higit sa apat na taon at ang ang ilan sa iyong mga account sa Amazon Web Service ay minarkahan bilang publiko kaya ang sinumang gumagamit ay maaaring magkaroon ng pag-access sa libu-libong mga file, mga invoice, larawan ng mga tao ...
Sa pagsisiyasat na ito, sinimulan ni Kevin Finisterre ang pagkalap ng impormasyon at gumawa ng daan-daang mga ulat, isa pagsisiyasat na sa huli ay nagresulta sa humigit-kumulang 130 mga email sa DJI na nagdedetalye ng mga problema sa seguridad na nakita nito sa mga server nito. Ang tugon ni DJI ay upang ipahiwatig na ang mga server ay wala na sa programang bounty. bagaman, ilang sandali lamang, nakatanggap siya ng isang email na nagpapahiwatig na nakuha niya ang pinakamataas na posisyon sa mga tuntunin ng mga gantimpala, na humantong sa kanya upang manalo US dollar 30.000.
Makalipas ang ilang sandali, nakatanggap siya ng isang email na may isang kontrata na kinakailangan sa kanya hindi tinatalakay ang mga detalye ng gawaing iyong nagawa sa publiko habang pinipilit siya sabihing wala silang nagawang anumang gawaing panseguridad para sa DJI sa anumang sandali. Ilang sandali pagkatapos ay ang Legal na departamento ng DJI ang makipag-ugnay sa kanya upang pilitin siyang sirain ang lahat ng impormasyon at datos na natuklasan sa panahon ng pagsisiyasat kung ayaw niyang harapin ang mga ligal na singil.