habreplicator
7 лет назадDJI угрожает судом специалисту по кибербезопасности, обнаружившего ключи доступа к учеткам компании на GitHub
Автор: marks
Источник: https://geektimes.ru/post/295579/
![image](https://img.golos.io/proxy/https://habrastorage.org/getpro/geektimes/post_images/aec/a48/54b/aeca4854b0a3f1431139e0f1d0c5b215.png)
О квадрокоптерах компании DJI на Geektimes писали много раз. В большинстве своем это действительно неплохие устройства. У них есть ряд проблем, которые могут доставлять неудобства пользователям, но все решаемо. Не так давно стало известно, что разработчики программного обеспечения DJI оставили частные ключи для «wildcard» сертификата всех веб-доменов компании, а также к учетным записям DJI для Amazon Web Services. Используя эту информацию, исследователь по кибербезопасности Кевин Финистерр смог получить доступ к данным полетов квадрокоптеров DJI клиентов компании. Сюда входят трекинг, фотографии водительских удостоверений, паспортов и прочих документов этих людей. В некоторых случаях «засветились» даже данные трекинга полетов коптеров с аккаунтов, которые явно принадлежат правительственным структурам.
У компании есть программа по привлечению сторонних специалистов к ликвидации уязвимостей в ПО DJI. Речь идет о bug bounty, анонсированной в августе. Исследователь, о котором говорилось выше, как раз и искал уязвимости, надеясь получить вознаграждение. Но пока все, что он получил — это угроза со стороны DJI начать расследование его действий согласно CFAA (Computer Fraud and Abuse Act). После этого специалист принял решение действовать самостоятельно, без уведомления DJI о своих планах. Он опубликовал информацию о находках, сопроводив материал пояснениями о причине отказа от условий баунти-программы DJI.
Читать дальше →
Источник: https://geektimes.ru/post/295579/
![image](https://img.golos.io/proxy/https://habrastorage.org/getpro/geektimes/post_images/aec/a48/54b/aeca4854b0a3f1431139e0f1d0c5b215.png)
О квадрокоптерах компании DJI на Geektimes писали много раз. В большинстве своем это действительно неплохие устройства. У них есть ряд проблем, которые могут доставлять неудобства пользователям, но все решаемо. Не так давно стало известно, что разработчики программного обеспечения DJI оставили частные ключи для «wildcard» сертификата всех веб-доменов компании, а также к учетным записям DJI для Amazon Web Services. Используя эту информацию, исследователь по кибербезопасности Кевин Финистерр смог получить доступ к данным полетов квадрокоптеров DJI клиентов компании. Сюда входят трекинг, фотографии водительских удостоверений, паспортов и прочих документов этих людей. В некоторых случаях «засветились» даже данные трекинга полетов коптеров с аккаунтов, которые явно принадлежат правительственным структурам.
У компании есть программа по привлечению сторонних специалистов к ликвидации уязвимостей в ПО DJI. Речь идет о bug bounty, анонсированной в августе. Исследователь, о котором говорилось выше, как раз и искал уязвимости, надеясь получить вознаграждение. Но пока все, что он получил — это угроза со стороны DJI начать расследование его действий согласно CFAA (Computer Fraud and Abuse Act). После этого специалист принял решение действовать самостоятельно, без уведомления DJI о своих планах. Он опубликовал информацию о находках, сопроводив материал пояснениями о причине отказа от условий баунти-программы DJI.
Читать дальше →