Như đã xảy ra ở nhiều công ty quốc tế, ví dụ như chúng ta đang nói về các công ty như Microsoft, Amazon, Google, Facebook ..., DJI quyết định tung ra một nền tảng mà thông qua đó, theo một cách rất đơn giản, bất kỳ người nào bên ngoài công ty phát hiện ra sự cố hoặc lỗi có thể ảnh hưởng đến sự an toàn của bất kỳ người tiêu dùng sản phẩm nào của công ty, đều có thể báo cáo nó và nhận lại một phần thưởng.
Như chúng ta thường thấy, chúng ta đang nói về một sáng kiến rất hấp dẫn và thú vị đối với nhiều người dùng nâng cao có khả năng phát hiện ra loại vấn đề này vì đồng thời họ thường nhận được phần thưởng kinh tế rất thú vị khiến họ tiếp tục nghiên cứu loại phát hiện này, công ty có thể cải thiện đáng kể tính bảo mật của các dịch vụ của bạn, đặc biệt là những dữ liệu ảnh hưởng đến dữ liệu cá nhân nhất định của khách hàng như thông tin cá nhân, ảnh, video hoặc hồ sơ chuyến bay của họ.
DJI đe dọa một người dùng đã yêu cầu phần thưởng của anh ta sau khi tìm thấy một lỗ hổng bảo mật trong máy chủ của anh ta
Tại thời điểm này, tôi muốn nói với bạn về trường hợp của Kevin Finisterre, một kỹ sư phần mềm đã có thể phát hiện ra một lỗ hổng bảo mật trong máy chủ của DJI cho phép anh ta truy cập thông tin cá nhân của khách hàng. Vấn đề là công ty đã vô tình phát hành khóa riêng của chứng chỉ SSL mà họ đã sử dụng và khóa AES được sử dụng để ký xác thực các bản cập nhật chương trình cơ sở của máy bay không người lái của bạn.
Kevin Finisterre, nhận ra lỗi này, đã quyết định viết thư cho DJI và hỏi xem máy chủ của họ có nằm trong phạm vi của chương trình khen thưởng khi xác định các lỗi mà chính DJI đã trả lời bằng Si. Với câu trả lời này, anh bắt đầu điều tra và phát hiện ra rằng khóa cá nhân của chứng chỉ kỹ thuật số của bạn đã ở trong kho lưu trữ Github trong hơn bốn năm và một số tài khoản của bạn trên Amazon Web Service đã được đánh dấu là công khai vì vậy bất kỳ người dùng nào cũng có thể có quyền truy cập vào hàng nghìn tệp, hóa đơn, ảnh của mọi người ...
Với cuộc điều tra này, Kevin Finisterre bắt đầu thu thập thông tin và thực hiện hàng trăm báo cáo, một cuộc điều tra cuối cùng dẫn đến khoảng 130 email cho DJI nêu chi tiết các vấn đề bảo mật mà nó đã tìm thấy trên các máy chủ của mình. Phản hồi của DJI là để chỉ ra rằng các máy chủ không còn trong chương trình tiền thưởng nữa. mặc dù ngay sau đó, anh ấy nhận được một email cho biết rằng anh ấy đã giành được vị trí cao nhất về phần thưởng, điều này đã giúp anh ấy giành được chiến thắng Đô la Mỹ 30.000.
Một thời gian ngắn sau, anh ta nhận được một email với một hợp đồng yêu cầu anh ta phải không thảo luận chi tiết về công việc bạn đã làm công khai trong khi buộc anh ta phải nói rằng họ đã không thực hiện bất kỳ công việc bảo mật nào cho DJI trong bất kỳ thời điểm nào. Ngay sau đó là Bộ phận pháp lý của DJI kẻ đã liên lạc với anh để buộc anh phải tiêu hủy toàn bộ thông tin, dữ liệu được phát hiện trong quá trình điều tra nếu không muốn đối mặt với tội danh của pháp luật.