Zaten birçok uluslararası şirkette olduğu gibi, örneğin Microsoft, Amazon, Google, Facebook gibi şirketlerden bahsediyoruz ..., DJI Ürünlerinin herhangi bir tüketicisinin güvenliğini etkileyebilecek bir sorun veya arızayı tespit eden şirket dışından herhangi bir kişinin çok basit bir şekilde yapabileceği bir platform başlatmaya karar verdi. rapor et ve karşılığında bir ödül al.
Görmeye alıştığımız gibi, bu tür bir sorunu tespit edebilen birçok ileri düzey kullanıcı için çok cazip ve ilginç bir girişimden bahsediyoruz, çünkü aynı zamanda normalde bir ekonomik ödül şirket bu tür bulgular üzerinde çalışmaya devam etmelerini sağlayan çok ilginç bir durumdur. hizmetlerinizin güvenliğini önemli ölçüde artırınözellikle müşterilerinin kişisel bilgileri, fotoğrafları, videoları veya uçuş kayıtları gibi belirli özel verilerini etkileyenler.
DJI, sunucularında bir güvenlik açığı bulduktan sonra ödülünü isteyen bir kullanıcıyı tehdit ediyor
Bu noktada sizinle şu durum hakkında konuşmak istiyorum Kevin FinisterreDJI sunucularında özel müşteri bilgilerine erişmesine izin veren bir güvenlik açığını tespit edebilen bir yazılım mühendisi. Sorun, şirketin yanlışlıkla Kullandıkları SSL sertifikasının özel anahtarı ve AES anahtarı drone'larınızın ürün yazılımı güncellemelerinin orijinalliğini imzalamak için kullanılır.
Bu hatayı fark eden Kevin Finisterre, DJI'ye yazmaya ve sunucularının ödül programının kapsamı DJI'nin kendisinin bir Si. Bu cevapla araştırmaya başladı ve keşfetti dijital sertifikanızın özel anahtarı dört yıldan fazla bir süredir bir Github havuzundaydı ve şu Amazon Web Hizmetindeki bazı hesaplarınız genel olarak işaretlendi böylece herhangi bir kullanıcı binlerce dosyaya, faturaya, insan fotoğrafına erişebilir ...
Bu soruşturmayla Kevin Finisterre bilgi toplamaya ve yüzlerce rapor yapmaya başladı. Sonuçta DJI'ye yaklaşık 130 e-posta ile sonuçlanan soruşturma sunucularında bulduğu güvenlik sorunlarını detaylandırıyor. DJI'nin cevabı, sunucuların artık ödül programında olmadığını belirtmek oldu. kısa bir süre sonra, ödül açısından en yüksek konumu elde ettiğini ve kazanmasına yol açan bir e-posta aldı. ABD doları 30.000.
Kısa bir süre sonra, bunu yapmasını gerektiren bir sözleşme içeren bir e-posta aldı. yaptığınız işin ayrıntılarını tartışmamak onu zorlarken alenen DJI için herhangi bir güvenlik çalışması yapmadıklarını söylüyorlar her an. Kısa bir süre sonra DJI hukuk departmanı Kendisiyle temasa geçen kişi, eğer yasal suçlamalarla karşılaşmak istemiyorsa, soruşturma sırasında ortaya çıkan tüm bilgi ve verileri imha etmeye zorlamak için.