Китайская компания DJI, являющаяся одним из лидирующих производителей мультикоптеров для потребительского рынка, вновь подверглась критике со стороны ИБ-специалистов. На этот раз DJI предложила всего $500 эксперту, который обнаружил на серверах компании серьезные проблемы.
Шон Мелиа (Sean Melia) рассказал, что недавно ему удалось обнаружить на серверах DJI ряд брешей в безопасности, включая уязвимость перед нашумевшей проблемой Heartbleed, о которой стало известно еще в 2014 году, уязвимость перед SQL-инъекциями, а также RCE-баг, позволявший выполнить произвольный код с root-привилегиями.
Специалист рассказал журналистам The Register, что когда он сообщил о багах представителям DJI, те предложили ему $500 по программе вознаграждения за уязвимости. При этом разработчики DJI оперативно устранили все обнаруженные аналитиком проблемы в течение буквально нескольких дней. Мелиа утверждает, что отклонил это «щедрое» предложение и заявил представителям DJI, что лучше бы они вообще не имели bug bounty программы.
Most companies who “roll their own” bug bounty program don’t do it properly from my experiences. FB, MS, google, etc are obvious exceptions. Those companies have mature security teams. DJI on the other hand.. 🙂
— Sean Melia (@seanmeals) November 27, 2017
Дело в том, что исследователь уверен, согласно официальным «ставкам» bug bounty инициативы DJI, ему причиталось не менее $16 000. Ведь RCE-уязвимость и Heartbleed определенно попадают в категорию критических проблем, которые «могут привести к значительной утечке пользовательских данных», а такие баги компания оценивает в $5000 за штуку.
Представители DJI дали комментарий журналистам The Register и сообщили, что Мелиа вообще не имел права публично говорить о вышеперечисленных багах, так как он подписал соглашение о неразглашении информации. Хуже того, исследователь якобы утаил от представителей DJI некоторые подробности об уязвимостях и пару самих багов, но охотно поделился этой информацией с журналистами. Мелиа отрицает эти обвинения и заверяет, что сообщил компании обо всех своих находках и был при этом максимально «прозрачен».
Также представитель DJI подчеркнул, что «размер предложенного [специалисту] вознаграждения соответствовал уязвимостях, о которых тот сообщил».
Напомню, что недавно также стало известно о конфликте с DJI другого ИБ-специалиста, Кевина Финистерре (Kevin Finisterre). Исследователь рассказал, что обнаружил огромные проблемы в GitHub-репозитории компании, хотел принять участие в официальной программе bug bounty, но в итоге добился лишь того, что ему угрожают судебным преследованием в соответствии с федеральным законом «О компьютерном мошенничестве и злоупотреблении» (Computer Fraud and Abuse Act, CFAA).
Эта история тоже продолжает развиваться. Так, представители DJI представили официальный пресс-релиз, в котором объяснили, почему в GitHub-репозитории компании, на протяжении 2-4 лет, свободно хранился приватный ключ от wildcard-сертификата для *.dji.com. Напомню, что также Финистерре обнаружил в том же репозитории учетные данные от аккаунта AWS (неверно настроенный бакет раскрывал личные данные множества пользователей беспилотников DJI) и AES-ключи шифрования от прошивок DJI. Теперь компания сообщила, что двое сотрудников, допустивших все это, уже были уволены.
К сожалению, конфликт с Финистерре это не прекратило. Напротив, теперь представители DJI переключились с самого исследователя на компанию, в которой он работает, Department 13. Хотя Department 13 и DJI являются конкурентами на рынке обнаружения дронов, исследования Финистерре не имели никакого отношения к его работе, он занимался поиском багов в свободное время. Впрочем, это не оставило представителей DJI от нескольких публичных «шпилек» в адрес Department 13.