正如許多國際公司的情況一樣,例如,我們所說的是微軟,亞馬遜,谷歌,Facebook等公司, DJI 決定啟動一個平台,通過該平台,公司外部的任何人只要能夠檢測到可能影響其產品消費者安全的問題或故障,便可以通過該平台 報告並獲得回報.
正如我們慣常看到的那樣,對於許多能夠檢測此類問題的高級用戶來說,我們正在談論一種非常誘人且有趣的計劃,因為他們通常同時會收到一個問題。 經濟回報 非常有趣的是,他們可以繼續研究此類發現,公司可以 大大提高您的服務安全性,尤其是那些影響客戶某些私人數據(例如其個人信息,照片,視頻或飛行記錄)的數據。
DJI威脅發現服務器中存在安全漏洞後要求獎勵的用戶
在這一點上,我想和您談談 凱文·菲尼斯特雷(Kevin Finisterre),是一名軟件工程師,能夠檢測DJI服務器中的安全漏洞,使他能夠訪問私人客戶信息。 問題是該公司不經意間做了 他們使用的SSL證書和AES密鑰的私鑰 用於簽署無人機固件更新的真實性。
認識到此錯誤的凱文·芬尼斯特雷(Kevin Finisterre)決定寫信給DJI,詢問他們的服務器是否在 獎勵計劃的範圍 在確定DJI本身針對的故障時 Si。 有了這個答案,他開始調查並發現 您的數字證書的私鑰在Github存儲庫中已使用了四年以上 和 您在Amazon Web Service上的某些帳戶被標記為公開帳戶 這樣任何用戶都可以訪問成千上萬的文件,發票,人物照片...
通過這次調查,凱文·芬尼斯特雷(Kevin Finisterre)開始收集信息並做出數百份報告,其中一項 調查最終導致向DJI發送了約130封電子郵件 詳細介紹它在服務器上發現的安全問題。 DJI的回應是表明服務器不再在賞金計劃中。 儘管不久之後,他收到一封電子郵件,表明他在獎勵方面獲得了最高職位,這使他獲得了勝利 美元30.000.
不久之後,他收到了一封包含合同的電子郵件,該合同要求他 沒有討論您所做工作的細節 公開地強迫他去 說他們沒有為DJI做任何安全工作 在任何時候。 不久之後是 大疆法務部 如果他不想面對法律指控,則與他聯繫以迫使他銷毀在調查中發現的所有信息和數據的人。