Onderzoeker hekelt beloningsprogramma dronefabrikant DJI
Een beveiligingsonderzoeker heeft uitgehaald naar het beloningsprogramma van dronefabrikant DJI, nadat hij zeer ernstige beveiligingsproblemen had gevonden waarvoor het bedrijf hem 30.000 dollar wilde betalen. Onderzoeker Kevin Finisterre ontdekte naar eigen zeggen dat het via diensten van Amazon en GitHub mogelijk was om de volledige infrastructuur van DJI te compromitteren. Zo ontdekte hij ssl-sleutels, alsmede paspoorten, rijbewijzen, staatsidentificatie en vluchtgegevens.
Eind augustus kondigde DJI een beloningsprogramma aan, waarbij het bedrijf liet weten dat het onderzoekers zal belonen voor het melden van kwetsbaarheden, met een maximum van 30.000 dollar. Finisterre nam contact op met DJI om te bevestigen dat zijn melding in aanmerking voor een beloning zou komen, aangezien de dronefabrikant niet veel details over het beloningsprogramma had gegeven. Het bleek een traag en moeizaam proces te zijn, maar uiteindelijk ontving hij het bericht dat DJI een beloning van 30.000 dollar zou uitkeren. Daarop verstuurde Finisterre zijn rapport.
Bijna een maand later ontving hij de overeenkomst van DJI om de bugmelding af te wikkelen. De juridische voorwaarden waren volgens de onderzoeker zo beperkend dat zijn werk zelfs risico zou lopen en zijn vrijheid van meningsuiting in het geding was. Hij werd naar eigen zeggen op geen enkele manier beschermd. Vervolgens probeerde Finisterre om de bewoording van de overeenkomst aan te passen, maar ondertussen had hij al een dreigbrief van DJI ontvangen dat hij zonder toestemming een DJI-server had benaderd en daar vertrouwelijke informatie had verkregen.
DJI liet in de brief weten dat het naar een oplossing wilde zoeken, maar stelde ook dat de onderzoeker onder de Amerikaanse Computer Fraud and Abuse Act (CFAA) kon worden vervolgd. Advocaten waarschuwden Finisterre dat de overeenkomst die hij eerder had ontvangen zeer riskant was en uiteindelijk besloot de onderzoeker dan ook om van de toegezegde beloning van 30.000 dollar af te zien. In een uitgebreid artikel (pdf) doet Finisterre nu zijn verhaal om onderzoekers voor het DJI-beloningsprogramma te waarschuwen.
Hadden ze ip adressen en passwords / sleutels hardcoded in de source laten staan wellicht?
Je moet voor de gein github eens doorlijken hoe vaak dat wel niet gebeurt.
Goed dat hij voor zichzelf heeft gekozen en karakter heeft getoond.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.