image

Onderzoeker hekelt beloningsprogramma dronefabrikant DJI

donderdag 16 november 2017, 14:59 door Redactie, 4 reacties

Een beveiligingsonderzoeker heeft uitgehaald naar het beloningsprogramma van dronefabrikant DJI, nadat hij zeer ernstige beveiligingsproblemen had gevonden waarvoor het bedrijf hem 30.000 dollar wilde betalen. Onderzoeker Kevin Finisterre ontdekte naar eigen zeggen dat het via diensten van Amazon en GitHub mogelijk was om de volledige infrastructuur van DJI te compromitteren. Zo ontdekte hij ssl-sleutels, alsmede paspoorten, rijbewijzen, staatsidentificatie en vluchtgegevens.

Eind augustus kondigde DJI een beloningsprogramma aan, waarbij het bedrijf liet weten dat het onderzoekers zal belonen voor het melden van kwetsbaarheden, met een maximum van 30.000 dollar. Finisterre nam contact op met DJI om te bevestigen dat zijn melding in aanmerking voor een beloning zou komen, aangezien de dronefabrikant niet veel details over het beloningsprogramma had gegeven. Het bleek een traag en moeizaam proces te zijn, maar uiteindelijk ontving hij het bericht dat DJI een beloning van 30.000 dollar zou uitkeren. Daarop verstuurde Finisterre zijn rapport.

Bijna een maand later ontving hij de overeenkomst van DJI om de bugmelding af te wikkelen. De juridische voorwaarden waren volgens de onderzoeker zo beperkend dat zijn werk zelfs risico zou lopen en zijn vrijheid van meningsuiting in het geding was. Hij werd naar eigen zeggen op geen enkele manier beschermd. Vervolgens probeerde Finisterre om de bewoording van de overeenkomst aan te passen, maar ondertussen had hij al een dreigbrief van DJI ontvangen dat hij zonder toestemming een DJI-server had benaderd en daar vertrouwelijke informatie had verkregen.

DJI liet in de brief weten dat het naar een oplossing wilde zoeken, maar stelde ook dat de onderzoeker onder de Amerikaanse Computer Fraud and Abuse Act (CFAA) kon worden vervolgd. Advocaten waarschuwden Finisterre dat de overeenkomst die hij eerder had ontvangen zeer riskant was en uiteindelijk besloot de onderzoeker dan ook om van de toegezegde beloning van 30.000 dollar af te zien. In een uitgebreid artikel (pdf) doet Finisterre nu zijn verhaal om onderzoekers voor het DJI-beloningsprogramma te waarschuwen.

Reacties (4)
16-11-2017, 16:49 door Anoniem
"" via diensten van Amazon en GitHub ""

Hadden ze ip adressen en passwords / sleutels hardcoded in de source laten staan wellicht?
Je moet voor de gein github eens doorlijken hoe vaak dat wel niet gebeurt.
16-11-2017, 17:30 door packetguy - Bijgewerkt: 16-11-2017, 17:31
Hele PDF doorgelezen en wat een boeven, ik kan me helemaal inleven in de hoeveelheid tijd hem dit heeft gekost.

Goed dat hij voor zichzelf heeft gekozen en karakter heeft getoond.
17-11-2017, 03:23 door Anoniem
Lijkt idd op source code en open AWS buckets. Niet heel ongebruikelijk om dit te vinden binnen bug bounty programma's en schandalig hoe de leverancier met deze melding om gaat.
17-11-2017, 09:08 door Anoniem
Je kan ook beter je eigen quad bouwen :D
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.