Dronefabrikant DJI heeft een beveiligingslek in het eigen forum gedicht waardoor een aanvaller accounts van gebruikers had kunnen kapen. Met deze accounts was het vervolgens mogelijk geweest om op verschillende diensten van DJI in te loggen en toegang te krijgen tot informatie die door gebruikers in de cloud was opgeslagen, zoals foto's, video's, vluchtlogboeken, live camerabeelden van de drone en locatie.

DJI beheert drie verschillende diensten waarop gebruikers kunnen inloggen. Al deze platformen delen dezelfde authenticatiestructuur. Via een cross-site-scripting-aanval op het forum van DJI was het mogelijk om cookies van gebruikers te stelen en hiermee tokens of tickets aan te maken waarmee er als gebruikers op de verschillende DJI-diensten kon worden ingelogd. Om de aanval uit te voeren moest een DJI-gebruiker nog wel een malafide link op het forum openen.

Gebruikers die hun vluchtgegevens met de DJI-cloud hadden gesynchroniseerd, inclusief foto's, video's en vluchtlogboeken, en zakelijke DJI-gebruikers die de FlightHub-software gebruikten, waaronder een live camera, audio- en kaartweergave, zouden zo risico lopen dat hun gegevens werden benaderd of gestolen.

"Hoewel het gemakkelijk voor de app- of webontwikkelaar is om één identificatie te gebruiken om gebruikers over meerdere diensten te herkennen, maakt het het ook eenvoudiger voor een potentiële aanvaller om zich lateraal door elk systeem te bewegen en daar opgeslagen data te benaderen", aldus securitybedrijf Check Point, dat DJI in maart van dit jaar informeerde. De kwetsbaarheid is inmiddels verholpen en volgens de dronefabrikant is er geen misbruik van gemaakt.