Investigador advierte a DJI sobre violación de seguridad y recibe amenazas de la compañía

DJI chino es, con mucho, el líder en drones civiles, con una cuota de mercado global del 70% . Cuenta con un equipo de investigación y desarrollo de 1.500 empleados , siempre por delante de la competencia; y pueden ofrecer sus productos, como la línea Phantom, a precios más bajos que otras compañías.

Sin embargo, ella tiene algunos problemas de seguridad. El ejército de los Estados Unidos ha prohibido el uso de sus drones para cualquier propósito militar; También hay informes de personas que piratean su firmware.

Entonces, la compañía decidió lanzar un programa de recompensas por errores: desde agosto, cualquiera que se entere de los errores de software puede ganar entre $ 100 y $ 30,000. Pero un investigador encontró un agujero de seguridad en los servidores de DJI y recibió amenazas en lugar de una recompensa.

Según Ars Technica , el investigador Kevin Finisterre pudo acceder a los archivos que DJI dejó desprotegidos en la nube de Amazon Web Services. Esto incluye fotos de pasaportes de clientes, licencias de conducir y registros de vuelo.

Luego encontró una escapatoria para acceder a imágenes en SkyPixel, el servicio para compartir fotos de DJI. Aquí puede ver drones dañados, personas cortadas por hélices y recibos y otros datos personales. Según Finisterre, fue posible encontrar certificados SSL y claves de cifrado AES en GitHub.

Le envió un correo electrónico a un empleado para advertirle sobre el problema, intercambiando 130 mensajes durante semanas. «En un momento … DJI incluso se ofreció a contratarme directamente como consultor de seguridad», escribe Finisterre.

En septiembre, la compañía ofreció pagar $ 30,000 por el fracaso. Luego, de repente advirtió que sus servidores ya no estaban dentro del alcance del programa de recompensas. Un mes después, el departamento legal envió una carta exigiendo que destruyera los datos que descubrió, o que sería procesado bajo la Ley de Abuso y Fraude Informático (CFAA).

DJI luego envió un contrato de «oferta final». Finisterre escribe que «no menos de cuatro abogados me dijeron de muchas maneras que el acuerdo era extremadamente arriesgado, y probablemente también creado de mala fe para silenciar a cualquiera que lo firmara». Así que renunció a $ 30,000 y publicó los hallazgos en su sitio web personal .

En una declaración a Ars Technica , DJI dice que fue amenazado por Finisterre y solo lo llama pirata informático:

DJI está investigando el acceso no autorizado a uno de nuestros servidores que contiene información personal enviada por nuestros usuarios. Como parte de su compromiso con la seguridad de los datos del cliente, DJI ha contratado a una empresa independiente de seguridad cibernética para investigar estos informes y el impacto de cualquier acceso no autorizado a dichos datos.

Hoy, un pirata informático que obtuvo algunos de estos datos publicó conversaciones confidenciales con empleados de DJI en línea sobre sus intentos de reclamar una recompensa de errores del Centro de Respuesta de Seguridad de DJI … El pirata informático en cuestión se negó a aceptar los términos estándar de los programas de computadora. recompensa, a pesar de los continuos intentos de negociar con él; y amenazó a DJI si no se cumplían sus términos.

Con información: Ars Technica .

Contenido Relacionado

Los detalles de la Intel Compute Card, una PC de formato de tarjeta modular

Los detalles de la Intel Compute Card, una PC de formato de tarjeta modular

El Intel está trabajando para conseguir sus procesadores en ordenadores cada vez más pequeños, como el palo en forma de ...
Leer Más
Error 8007371B al instalar la actualización KB2845533 en Windows 10/8/7/Server

Error 8007371B al instalar la actualización KB2845533 en Windows 10/8/7/Server

Tenía un cliente que se enfrentaba a este problema, donde no pudo instalar KB2845533 de Windows Update. Estaba usando una ...
Leer Más
Netflix intercambiará estrellas por likes y disgustos

Netflix intercambiará estrellas por likes y disgustos

En las próximas semanas, dejarás de calificar películas y series en Netflix con cinco o menos estrellas. En cambio, usará ...
Leer Más
Mageia 3 final recta antes de la salida final

Mageia 3 final recta antes de la salida final

Mageia 3 RC se entrega a probadores de todo tipo y periodistas antes de su lanzamiento final en mayo de ...
Leer Más
Ejecutivo de cambio extranjero secuestrado y liberado después de pagar rescate de bitcoin

Ejecutivo de cambio extranjero secuestrado y liberado después de pagar rescate de bitcoin

Las oficinas de cambio de moneda de criptomonedas han sido durante mucho tiempo el objetivo de los piratas informáticos que ...
Leer Más
Niantic hace un trato de $ 1.57 millones después del fiasco de Pokémon Go Fest

Niantic hace un trato de $ 1.57 millones después del fiasco de Pokémon Go Fest

El Pokémon Go Fest, un evento diseñado para celebrar el aniversario del juego, fue un fiasco para muchos de los ...
Leer Más

Deja un comentario