Ми вже писали, що розробники з компанії DJI залишили у відкритому доступі приватні ключі для «wildcard» сертифіката всіх веб-доменів компанії, а також до облікових записів DJI для Amazon Web Services. Це виявив дослідник з кібербезпеки Кевін Финистерр, який зміг отримати доступ до даних польотів квадрокоптеров DJI клієнтів компанії. У їх числі – трекінг, фотографії водійських посвідчень, паспортів та інших документів власників. Він отримав доступ до даних навіть урядових акаунтів.

Зазначимо, що у компанії з серпня діє програма bug bounty – залучення сторонніх експертів до перевірок безпеки. Кевін Финистерр діяв в рамках програми, в надії отримати винагороду, однак замість цього отримав погрози з боку DJI почати розслідування його дій відповідно CFAA (Computer Fraud and Abuse Act). Після цього він опублікував інформацію про уразливість в загальному доступі.

Події розвивалися так: після виявлення вразливостей Финнистер відправив запит у службу підтримки компанії з проханням повідомити, чи підпадає все, виявлена ним, під положення баунті-програми і став чекати відповіді. Реакції з боку китайської компанії не було протягом двох тижнів, після чого було отримано повідомлення наступного характеру:

До bug bounty програмі мають відношення всі проблеми, додатках і мережевих елементах, включаючи витік програмного забезпечення або уразливості в системі безпеки. Ми працюємо над створенням докладного керівництва

Після отримання такого підтвердження Финистер почав складати звіт з описом всіх виявлених ним вразливостей і проблем. Документування великої кількості деталей — справа непроста, але все було зроблено в найкоротші терміни. Після цього Финистер зв’язався із співробітником DJI, надавши йому докладне пояснення майже всіх знайдених проблем. Той в оперативному режимі відповів і зав’язалася ділова переписка. Спілкування було досить тривалим, листування до її завершення складалася зі 130 повідомлень електронної пошти.

Потім надійшла пропозиція Финистеру стати штатним консультантом з питань кібербезпеки, а після цього прийшов ще один лист, в якому говорилося, що серверні уразливості не підпадають під умови баунті програми. Тим не менше, йому сказали, що нагороду він отримає, її розмір — $30 000. Потім потік повідомлень з боку компанії практично вичерпався на місяць, а потім прийшло ще одне речення у вигляді угоди про нерозголошення виявлених ним проблем. При цьому, за словами експерта, цю угоду було складено так, що фактично змусить його замовкнути.

Чотири юриста, до яких я звертався, розповіли, що договір надзвичайно ризикований, він складений так, щоб змусити замовкнути особи, що підписала його

Кевін Финистер

У DJI ж зажадали видалити всі дані досліджень, пригрозивши «хакеру» (а саме так його назвали) позовом до суду зі звинуваченням у зломі серверів компанії і викрадення інформації, що представляє комерційну цінність.

Остаточного рішення поки немає, проте виникає чимало запитань.