DJI угрожает судом специалисту по кибербезопасности, обнаружившего ключи доступа к учеткам компании на GitHub.

О квадрокоптерах компании DJI на Geektimes писали много раз. В большинстве своем это действительно неплохие устройства. У них есть ряд проблем, которые могут доставлять неудобства пользователям, но все решаемо. Не так давно стало известно, что разработчики программного обеспечения DJI оставили частные ключи для «wildcard» сертификата всех веб-доменов компании, а также к учетным записям DJI для Amazon Web Services. Используя эту информацию, исследователь по кибербезопасности Кевин Финистерр смог получить доступ к данным полетов квадрокоптеров DJI клиентов компании. Сюда входят трекинг, фотографии водительских удостоверений, паспортов и прочих документов этих людей. В некоторых случаях «засветились» даже данные трекинга полетов коптеров с аккаунтов, которые явно принадлежат правительственным структурам.

У компании есть программа по привлечению сторонних специалистов к ликвидации уязвимостей в ПО DJI. Речь идет о bug bounty, анонсированной в августе. Исследователь, о котором говорилось выше, как раз и искал уязвимости, надеясь получить вознаграждение. Но пока все, что он получил — это угроза со стороны DJI начать расследование его действий согласно CFAA (Computer Fraud and Abuse Act). После этого специалист принял решение действовать самостоятельно, без уведомления DJI о своих планах. Он опубликовал информацию о находках, сопроводив материал пояснениями о причине отказа от условий баунти-программы DJI.
Читать дальше

URL записи