Китайская компания DJI, являющаяся одним из лидирующих производителей мультикоптеров для потребительского рынка, вновь подверглась критике со стороны ИБ-специалистов. На этот раз DJI предложила всего $500 эксперту, который обнаружил на серверах компании серьезные проблемы.

Шон Мелиа (Sean Melia) рассказал, что недавно ему удалось обнаружить на серверах DJI ряд брешей в безопасности, включая уязвимость перед нашумевшей проблемой Heartbleed, о которой стало известно еще в 2014 году, уязвимость перед SQL-инъекциями, а также RCE-баг, позволявший выполнить произвольный код с root-привилегиями.

Специалист рассказал журналистам The Register, что когда он сообщил о багах представителям DJI, те предложили ему $500 по программе вознаграждения за уязвимости. При этом разработчики DJI оперативно устранили все обнаруженные аналитиком проблемы в течение буквально нескольких дней. Мелиа утверждает, что отклонил это «щедрое» предложение и заявил представителям DJI, что лучше бы они вообще не имели bug bounty программы.

Дело в том, что исследователь уверен, согласно официальным «ставкам» bug bounty инициативы DJI, ему причиталось не менее $16 000. Ведь RCE-уязвимость и Heartbleed определенно попадают в категорию критических проблем, которые «могут привести к значительной утечке пользовательских данных», а такие баги компания оценивает в $5000 за штуку.

Представители DJI дали комментарий журналистам The Register и сообщили, что Мелиа вообще не имел права публично говорить о вышеперечисленных багах, так как он подписал соглашение о неразглашении информации. Хуже того, исследователь якобы утаил от представителей DJI некоторые подробности об уязвимостях и пару самих багов, но охотно поделился этой информацией с журналистами. Мелиа отрицает эти обвинения и заверяет, что сообщил компании обо всех своих находках и был при этом максимально «прозрачен».
Также представитель DJI подчеркнул, что «размер предложенного [специалисту] вознаграждения соответствовал уязвимостях, о которых тот сообщил».

Напомню, что недавно также стало известно о конфликте с DJI другого ИБ-специалиста, Кевина Финистерре (Kevin Finisterre). Исследователь рассказал, что обнаружил огромные проблемы в GitHub-репозитории компании, хотел принять участие в официальной программе bug bounty, но в итоге добился лишь того, что ему угрожают судебным преследованием в соответствии с федеральным законом «О компьютерном мошенничестве и злоупотреблении» (Computer Fraud and Abuse Act, CFAA).

Эта история тоже продолжает развиваться. Так, представители DJI представили официальный пресс-релиз, в котором объяснили, почему в GitHub-репозитории компании, на протяжении 2-4 лет, свободно хранился приватный ключ от wildcard-сертификата для *.dji.com. Напомню, что также Финистерре обнаружил в том же репозитории учетные данные от аккаунта AWS (неверно настроенный бакет раскрывал личные данные множества пользователей беспилотников DJI) и AES-ключи шифрования от прошивок DJI. Теперь компания сообщила, что двое сотрудников, допустивших все это, уже были уволены.

К сожалению, конфликт с Финистерре это не прекратило. Напротив, теперь представители DJI переключились с самого исследователя на компанию, в которой он работает, Department 13. Хотя Department 13 и DJI являются конкурентами на рынке обнаружения дронов, исследования Финистерре не имели никакого отношения к его работе, он занимался поиском багов в свободное время. Впрочем, это не оставило представителей DJI от нескольких публичных «шпилек» в адрес Department 13.



4 комментария

  1. Themistocles

    30.11.2017 at 06:46

    сами себе яму копают. как яху.

  2. Nick

    04.12.2017 at 03:20

    Они просто умоляют, чтобы их взломали и потёрли все их полимеры))

  3. ToxaZZ

    04.12.2017 at 16:44

    John_ комментит каждую статью! Подозрительно 😉

Оставить мнение