| 14 октября 2017 г. — 8:37 утра по тихоокеанскому времени
В конце августа DJI запустила свою программу «Bug Bounty» после того, как хакерам удалось обойти геофенсинг DJI. Примерно в то же время армия США прекратила использовать продукцию DJI из-за «киберуязвимостей». По-видимому, программа оказалась весьма успешной, и DJI планирует произвести первые выплаты, сообщает DroneLife. Общая сумма выплат превышает 30 000 долларов нескольким исследователям.
Деньги за обнаружение уязвимостей
Деньги еще не были переданы, но различные исследователи упомянули, что их отчеты об ошибках были успешно приняты, и они предоставили DJI информацию о своих банковских счетах для получения выплат. Одна из выплат, как сообщается, является «топ-бонусом» в размере 30 000 долларов — наградой за уязвимость наивысшего уровня.
Уолтер Стоквелл, директор DJI по техническим стандартам, сказал о программе «Bug Bounty» следующее:
«Исследователи безопасности, академические ученые и независимые эксперты часто предоставляют ценную услугу, анализируя код приложений DJI и других программных продуктов и привлекая внимание общественности к проблемам. DJI хочет учиться на их опыте, поскольку мы постоянно стремимся улучшать наши продукты, и мы готовы платить вознаграждения за обнаруженные ими уязвимости».
В своем пресс-релизе DJI заявила о своей «Программе вознаграждений за идентификацию угроз», официальном названии их программы «Bug Bounty», что ее цель — выявить угрозы целостности конфиденциальных данных пользователей, таких как фотографии, видео и журналы полетов. Программа также направлена на поиск других уязвимых областей, которые могут раскрыть проприетарные исходные коды и бэкдоры для обхода сертификации безопасности, например, геофенсинга.
В том же релизе DJI упомянула, что будет разработан специальный веб-сайт с полными условиями программы и стандартизированной формой для сообщения об ошибках. Нам еще предстоит увидеть такой веб-сайт, хотя с момента запуска программы доступен специальный адрес электронной почты bugbounty@dji.com. DJI пообещала выплачивать вознаграждения в размере от 100 до 30 000 долларов за квалифицированные угрозы. Отсутствие полностью разработанной программы и веб-сайта для сообщения об угрозах может указывать на то, что эта программа «Bug Bounty» была подготовлена быстро после того, как DJI получила негативную огласку из-за уязвимостей в своем программном обеспечении.
DroneLife продолжает сообщать, что некоторые из исследователей, которые все еще ждут получения оплаты за свои первоначальные заявления, уже отправили новые отчеты об ошибках. Это может свидетельствовать о несколько формализованных и дружеских отношениях между DJI и хакерами, с которыми они боролись не так давно. DJI просит исследователей воздерживаться от публичного обсуждения успешно обнаруженных уязвимостей.
Сообщение от DJI для исследователя безопасности. Фото: DroneLife
DJI — не первая и не последняя компания, которая запускает программу сообщения об ошибках. Например, Facebook запустил аналогичную программу Bug Bounty еще в 2011 году. Любое аппаратное и программное обеспечение, особенно новое, содержит слабые места. Главное — выявить их и устранить. То, что DJI обращается к хакерам и исследователям за помощью в поиске и устранении этих уязвимостей, следует рассматривать как нечто позитивное, поскольку в конечном итоге это приведет к улучшению программного и аппаратного обеспечения и, следовательно, к решению проблем безопасности для коммерческих пилотов дронов и государственных учреждений.