正如许多国际公司的情况一样,例如,我们所说的是微软,亚马逊,谷歌,Facebook等公司, DJI 决定启动一个平台,通过该平台,公司外部的任何人只要能够检测到可能影响其产品消费者安全的问题或故障,便可以通过该平台 报告并获得回报.
正如我们惯常看到的那样,对于许多能够检测到此类问题的高级用户而言,我们正在谈论一种非常诱人且有趣的计划,因为他们通常会同时收到一个问题。 经济回报 非常有趣的是,他们可以继续研究此类发现,公司可以 大大提高您的服务安全性,尤其是那些影响客户某些私人数据(例如其个人信息,照片,视频或飞行记录)的数据。
DJI在发现服务器安全漏洞后威胁要索取奖励的用户
在这一点上,我想和您谈谈 凯文·菲尼斯特雷(Kevin Finisterre),是一位软件工程师,能够检测DJI服务器中的安全漏洞,从而可以访问私人客户信息。 问题是该公司不经意间做了 他们使用的SSL证书和AES密钥的私钥 用于签署无人机固件更新的真实性。
认识到此错误的Kevin Finisterre决定写信给DJI,询问他们的服务器是否在 奖励计划的范围 在确定DJI本身针对的故障时 Si。 有了这个答案,他开始调查并发现 您的数字证书的私钥已在Github存储库中保存了四年以上 而且 您在Amazon Web Service上的某些帐户被标记为公开帐户 这样任何用户都可以访问成千上万的文件,发票,人物照片...
通过这次调查,凯文·芬尼斯特雷(Kevin Finisterre)开始收集信息并做出数百份报告,其中一项 调查最终导致向DJI发送了约130封电子邮件 详细介绍它在服务器上发现的安全问题。 DJI的回应是表明服务器不再在赏金计划中。 尽管不久之后,他收到一封电子邮件,指出他在奖励方面获得了最高的职位,这使他赢得了 $ 30.000.
不久之后,他收到了一封包含合同的电子邮件,该合同要求他 没有讨论您所做工作的细节 公开地强迫他去 说他们没有为DJI做任何安全工作 在任何时候。 不久之后是 大疆法务部 如果他不想受到法律指控,则与他联系以强迫他销毁在调查中发现的所有信息和数据的人。