Як це вже має місце у багатьох міжнародних компаніях, ми говоримо, наприклад, про такі компанії, як Microsoft, Amazon, Google, Facebook ..., DJI вирішив запустити платформу, за допомогою якої дуже простим способом будь-яка зовнішня особа компанії, яка виявить проблему чи несправність, яка може вплинути на безпеку будь-якого споживача її продукції, може повідомте про це та отримайте винагороду у відповідь.
Як ми звикли бачити, ми говоримо про дуже спокусливу та цікаву ініціативу для багатьох досвідчених користувачів, здатних виявити такий тип проблем, оскільки одночасно вони зазвичай отримують економічна винагорода дуже цікаво, що змушує їх продовжувати працювати над цим типом висновків, компанія може значно покращити безпеку ваших послуг, особливо тих, що впливають на певні приватні дані клієнтів, такі як їх особиста інформація, фотографії, відеозаписи або записи польотів.
DJI погрожує користувачеві, який попросив його винагороду, знайшовши недолік безпеки на своїх серверах
На цьому етапі я хочу поговорити з вами про випадок Кевін Фіністерре, інженер-програміст, який зміг виявити недолік безпеки на серверах DJI, що дозволило йому отримати доступ до інформації про приватних клієнтів. Проблема полягала в тому, що компанія ненавмисно зробила закритий ключ сертифіката SSL, який вони використовували, та ключ AES використовується для підписання справжності оновлень мікропрограми ваших дронів.
Кевін Фіністерре, зрозумівши цю помилку, вирішив написати в DJI і запитати, чи є їх сервери в межах обсяг програми винагород при виявленні збоїв, на які сам DJI відповів а Si. За допомогою цієї відповіді він почав досліджувати і виявив це приватний ключ вашого цифрового сертифіката знаходився у сховищі Github більше чотирьох років і деякі з ваших облікових записів на веб-службі Amazon були позначені як загальнодоступні тому будь-який користувач міг мати доступ до тисяч файлів, рахунків-фактур, фотографій людей ...
Під час цього розслідування Кевін Фіністерре почав збирати інформацію та робити сотні звітів, один розслідування, яке в підсумку призвело до 130 електронних листів до DJI деталізуючи проблеми безпеки, які він виявив на своїх серверах. Відповідь DJI полягала в тому, що сервери більше не були в програмі баунті. хоча незабаром після цього він отримав електронний лист із зазначенням, що він отримав найвищу позицію з точки зору винагород, що призвело його до перемоги Долар США 30.000.
Незабаром після цього він отримав електронне повідомлення з контрактом, який вимагав від нього не обговорювати деталі вашої роботи публічно, примушуючи його кажуть, що вони не робили жодної роботи з безпеки для DJI у будь-який момент. Незабаром після Юридичний відділ DJI той, хто зв’язався з ним, щоб змусити його знищити всю інформацію та дані, виявлені під час розслідування, якщо він не хотів би пред’являти судові звинувачення.