Мы уже писали, что разработчики из компании DJI оставили в открытом доступе приватные ключи для «wildcard» сертификата всех веб-доменов компании, а также к учетным записям DJI для Amazon Web Services. Это обнаружил исследователь по кибербезопасности Кевин Финистерр, который смог получить доступ к данным полетов квадрокоптеров DJI клиентов компании. В их числе – трекинг, фотографии водительских удостоверений, паспортов и прочих документов владельцев. Он получил доступ к данным даже правительственных аккаунтов.

Отметим, что у компании с августа действует программа bug bounty – привлечение сторонних экспертов к проверкам безопасности. Кевин Финистерр действовал в рамках программы, в надежде получить вознаграждение, однако вместо этого получил угрозы со стороны DJI начать расследование его действий согласно CFAA (Computer Fraud and Abuse Act). После этого он опубликовал информацию об уязвимостях в общем доступе.

События развивались так: после обнаружения уязвимостей Финнистер отправил запрос в службу поддержки компании с просьбой сообщить, подпадает ли все, обнаруженное им, под положения баунти-программы и стал ждать ответа. Реакции со стороны китайской компании не было в течение двух недель, после чего было получено сообщение следующего характера:

К bug bounty программе имеют отношения все проблемы в ПО, приложениях и сетевых элементах, включая утечку программного обеспечения или уязвимости в системе безопасности. Мы работаем над созданием подробного руководства

После получения подобного подтверждения Финистер начал составлять отчет с описанием всех обнаруженных им уязвимостей и проблем. Документирование большого количества деталей — дело непростое, но все было сделано в кратчайшие сроки. После этого Финистер связался с сотрудником DJI, предоставив ему подробное объяснение почти всех найденных проблем. Тот в оперативном режиме ответил и завязалась деловая переписка. Общение было достаточно продолжительным, переписка к ее завершению состояла из 130 сообщений электронной почты.

Затем последовало предложение Финистеру стать штатным консультантом по вопросам кибербезопасности, а после этого пришло ещё одно письмо, в котором говорилось, что серверные уязвимости не подпадают под условия баунти программы. Тем не менее, ему сказали, что награду он получит, ее размер — $30 000. Затем поток сообщений со стороны компании практически иссяк на месяц, а потом пришло ещё одно предложение в виде соглашения о неразглашении обнаруженных им проблем. При этом, по словам эксперта, это соглашение было составлено так, что фактически заставит его замолчать.

Четыре юриста, к которым я обращался, рассказали, что договор чрезвычайно рискованный, он составлен так, чтобы заставить замолчать человека, подписавшего его

Кевин Финистер

В DJI же потребовали удалить все данные исследований, пригрозив «хакеру» (а именно так его назвали) иском в суд с обвинением во взломе серверов компании и похищения информации, представляющей коммерческую ценность.

Окончательного решения по делу пока нет, однако возникает немало вопросов.