| 20 ноября 2017 г. — 11:57 PT
Исследователь в области безопасности Кевин Финнистер недавно обнаружил уязвимость, которая позволила ему получить доступ к персональным данным клиентов DJI на серверах китайского производителя дронов. Финнистер использовал недавно запущенную программу DJI Bug Bounty для сообщения о своих находках. Это привело к многочисленным перепискам между исследователем и юридическим отделом компании-производителя дронов о масштабах программы Bug Bounty DJI и других юридических аспектах. В итоге Финнистер почувствовал угрозу и решил, что не может подписать документ DJI. Затем он решил не только отказаться от главного вознаграждения в размере 30 000 долларов, но и предать свою историю огласке в 18-страничном PDF-файле под названием: «Почему я отказался от 30 000 долларов вознаграждения от DJI.»
Данные клиентов DJI оказались под угрозой из-за утечки безопасности
ARS Technica сообщила, что всё началось еще в сентябре, когда DJI впервые уведомили о том, что код, размещенный на Github, содержал закрытые ключи как для «wildcard» сертификата всех веб-доменов компании, так и для учетных записей облачного хранения в Amazon Web Services (AWS). Финнистер смог использовать эти данные для получения доступа к серверам DJI, где он получил доступ к летным записям клиентов и изображениям, загруженным клиентами DJI, включая фотографии водительских удостоверений, паспортов и удостоверений личности. Некоторые данные включали даже летные журналы из учетных записей, связанных с военными и другими государственными доменами. Это может быть причиной того, что Армия США решила прекратить использование продуктов DJI из-за уязвимостей в области кибербезопасности в начале этого года.
Получив и оценив отчет Финнистера, DJI проинформировала исследователя, что его находки квалифицируются на главное вознаграждение Bug Bounty в размере 30 000 долларов.
Чуть более чем через час я получил следующее письмо, в котором говорилось, что DJI «пришла к выводу, что проблемы, которые я представил, достигли высшей награды (30 000 долларов США)» и что «мне будет выплачено наличными».
Затем Финнистер был представлен одному из инженеров DJI, и последовала долгая переписка по электронной почте, в ходе которой он пытался объяснить сотруднику DJI, как данные клиента могли быть раскрыты. Во время этих разговоров Финнистер также осознал недостаток понимания безопасности со стороны своего коллеги.
«Это было первое в длинной череде обучений базовым концепциям безопасности и практикам Bug Bounty, — говорит Финнистер. — В одном потоке было более 130 электронных писем, обмененных туда и обратно. Через несколько дней DJI даже предложили нанять меня напрямую для консультаций по их безопасности».
Разговор становится оскорбительным
По мере продолжения разговоров DJI, очевидно, изменила свое мнение, и серверы, которые изначально входили в сферу действия программы Bug Bounty, теперь уже не входили. Более того, юридические документы, которые Финнистер должен был подписать, чтобы получить свое вознаграждение, были настолько широко определены и ограничительны, что исследователь, проконсультировавшись со своими юристами, решил, что не может их подписать. Хуже того, Финнистер почувствовал себя оскорбленным некоторыми формулировками в электронной переписке между ним и юридическим отделом DJI. Это достигло кульминации в едва замаскированной угрозе со стороны DJI обвинить по Закону о мошенничестве с использованием компьютеров и злоупотреблениях (CFAA), обвинив Финнистера в «несанкционированном доступе и передаче информации».
Согласно его отчету, Финнистер продолжил переговоры с DJI и получил окончательное предложение об условиях, на которых он мог бы получить высшее вознаграждение в размере 30 000 долларов. Финнистер проконсультировался со своими юристами и пришел к выводу, что условия были просто неприемлемыми.
«В последующие дни не менее 4 юристов сказали мне разными способами, что соглашение было не только чрезвычайно рискованным, но, вероятно, составлено недобросовестно, чтобы заставить замолчать любого, кто его подпишет. Я прошел через различные итерации, чтобы исправить письмо. В конечном итоге это обошлось бы мне в несколько тысяч долларов за юриста, который, я был уверен, мог охватить все аспекты, чтобы успокоить мои опасения и сделать соглашение подписываемым».
В итоге Финнистер почувствовал себя оскорбленным, ему угрожали, и все это казалось пустой тратой времени. Вместо того чтобы получить вознаграждение в размере 30 000 долларов и рисковать будущими юридическими действиями со стороны DJI против него, Финнистер решил предать все это огласке и собрать свой опыт в 18-страничном PDF-файле под названием: «Почему я отказался от 30 000 долларов вознаграждения от DJI.»
После того как Финнистер опубликовал свой отчет, DJI опубликовала заявление онлайн, в котором Финнистер был назван не исследователем безопасности, а хакером.
Заявление DJI
DJI отреагировала публичным заявлением на своем веб-сайте:
DJI расследует сообщение о несанкционированном доступе к одному из серверов DJI, содержащему персональную информацию, предоставленную нашими пользователями.
В рамках своей приверженности безопасности данных клиентов, DJI привлекла независимую фирму по кибербезопасности для расследования этого сообщения и влияния любого несанкционированного доступа к этим данным. Сегодня хакер, получивший доступ к части этих данных, опубликовал в Интернете свои конфиденциальные сообщения с сотрудниками DJI о его попытках получить «вознаграждение за ошибку» от Центра реагирования на инциденты безопасности DJI.
DJI создала Центр реагирования на инциденты безопасности, чтобы поощрять независимых исследователей безопасности ответственно сообщать о потенциальных уязвимостях. DJI просит исследователей соблюдать стандартные условия программ вознаграждения за ошибки, которые разработаны для защиты конфиденциальных данных и предоставления времени для анализа и устранения уязвимости до ее публичного раскрытия. Хакер, о котором идет речь, отказался согласиться с этими условиями, несмотря на неоднократные попытки DJI договориться с ним, и угрожал DJI, если его условия не будут выполнены.
DJI очень серьезно относится к безопасности данных и продолжит улучшать свои продукты благодаря исследователям, которые ответственно обнаруживают и раскрывают проблемы, влияющие на безопасность данных пользователей DJI и продуктов DJI. DJI выплатила тысячи долларов почти дюжине исследователей, которые представили отчеты в Центр реагирования на инциденты безопасности и согласились с условиями выплаты. По мере получения новых отчетов Центр реагирования на инциденты безопасности DJI регулярно соглашается выплачивать новые вознаграждения исследователям за их находки.
Более подробная информация о Центре реагирования на инциденты безопасности и сведения о том, как сообщать об ошибках, доступны на веб-сайте центра по адресу security.dji.com.
Финнистер выразил свое разочарование программой Bug Bounty DJI в сообщениях производителю дронов, но утверждает, что в ответ получил только «холоднокровное молчание».