Investigador advierte a DJI sobre violación de seguridad y recibe amenazas de la compañía

DJI chino es, con mucho, el líder en drones civiles, con una cuota de mercado global del 70% . Cuenta con un equipo de investigación y desarrollo de 1.500 empleados , siempre por delante de la competencia; y pueden ofrecer sus productos, como la línea Phantom, a precios más bajos que otras compañías.

Sin embargo, ella tiene algunos problemas de seguridad. El ejército de los Estados Unidos ha prohibido el uso de sus drones para cualquier propósito militar; También hay informes de personas que piratean su firmware.

Entonces, la compañía decidió lanzar un programa de recompensas por errores: desde agosto, cualquiera que se entere de los errores de software puede ganar entre $ 100 y $ 30,000. Pero un investigador encontró un agujero de seguridad en los servidores de DJI y recibió amenazas en lugar de una recompensa.

Según Ars Technica , el investigador Kevin Finisterre pudo acceder a los archivos que DJI dejó desprotegidos en la nube de Amazon Web Services. Esto incluye fotos de pasaportes de clientes, licencias de conducir y registros de vuelo.

Luego encontró una escapatoria para acceder a imágenes en SkyPixel, el servicio para compartir fotos de DJI. Aquí puede ver drones dañados, personas cortadas por hélices y recibos y otros datos personales. Según Finisterre, fue posible encontrar certificados SSL y claves de cifrado AES en GitHub.

Le envió un correo electrónico a un empleado para advertirle sobre el problema, intercambiando 130 mensajes durante semanas. «En un momento … DJI incluso se ofreció a contratarme directamente como consultor de seguridad», escribe Finisterre.

En septiembre, la compañía ofreció pagar $ 30,000 por el fracaso. Luego, de repente advirtió que sus servidores ya no estaban dentro del alcance del programa de recompensas. Un mes después, el departamento legal envió una carta exigiendo que destruyera los datos que descubrió, o que sería procesado bajo la Ley de Abuso y Fraude Informático (CFAA).

DJI luego envió un contrato de «oferta final». Finisterre escribe que «no menos de cuatro abogados me dijeron de muchas maneras que el acuerdo era extremadamente arriesgado, y probablemente también creado de mala fe para silenciar a cualquiera que lo firmara». Así que renunció a $ 30,000 y publicó los hallazgos en su sitio web personal .

En una declaración a Ars Technica , DJI dice que fue amenazado por Finisterre y solo lo llama pirata informático:

DJI está investigando el acceso no autorizado a uno de nuestros servidores que contiene información personal enviada por nuestros usuarios. Como parte de su compromiso con la seguridad de los datos del cliente, DJI ha contratado a una empresa independiente de seguridad cibernética para investigar estos informes y el impacto de cualquier acceso no autorizado a dichos datos.

Hoy, un pirata informático que obtuvo algunos de estos datos publicó conversaciones confidenciales con empleados de DJI en línea sobre sus intentos de reclamar una recompensa de errores del Centro de Respuesta de Seguridad de DJI … El pirata informático en cuestión se negó a aceptar los términos estándar de los programas de computadora. recompensa, a pesar de los continuos intentos de negociar con él; y amenazó a DJI si no se cumplían sus términos.

Con información: Ars Technica .

Contenido Relacionado

El operador de Google ofrece datos ilimitados en los EE. UU.

El operador de Google ofrece datos ilimitados en los EE. UU.

Desde 2015, Google ha estado vendiendo planes móviles en los EE. UU. Este es el Proyecto Fi : los clientes ...
Leer Más
LeeLu Monitores AIO: Sistema de Monitoreo, Carpetas, Archivos, Registro, Memoria, etc.

LeeLu Monitores AIO: Sistema de Monitoreo, Carpetas, Archivos, Registro, Memoria, etc.

Cuando diferentes herramientas de monitorización de sistemas pueden coexistir en un ambiente cordial, pueden mejorar el rendimiento de un colector ...
Leer Más
Tesla actualiza el Model 3 para estacionarse solo en el garaje

Tesla actualiza el Model 3 para estacionarse solo en el garaje

Una de las mejores características de Teson de Elon Musk es estacionar sus autos eléctricos por su cuenta e incluso ...
Leer Más
IPhones de subasta del IRS; PS4 y Xbox One comienzan en $ 600

IPhones de subasta del IRS; PS4 y Xbox One comienzan en $ 600

El IRS abrió una nueva subasta de productos incautados por los inspectores, esta vez en el puerto de Itajaí (SC) ...
Leer Más
Saraiva busca recuperación judicial tras deudas de R $ 675 millones

Saraiva busca recuperación judicial tras deudas de R $ 675 millones

La fuerte crisis financiera que enfrenta la librería Saraiva hizo que la empresa solicitara la recuperación judicial el viernes (23), ...
Leer Más
Microsoft abre el código fuente de la calculadora de Windows

Microsoft abre el código fuente de la calculadora de Windows

Dos cosas inusuales sucedieron el mismo día: el presidente de un país preguntando a su gente qué es la lluvia ...
Leer Más

Deja un comentario